در آبان 1401 شرکتهای زیر اقدام به عرضه بروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
مایکـروسافت
در آبان 1401، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی نوامبر منتشر کرد. اصلاحیههای مذکور بیش از 60 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 11 مورد از آسیبپذیریهای ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «ترفیع اختیارات» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
- «عبور از سد امکانات امنیتی» (Security Feature Bypass)
- «جعل» (Spoofing)
هفت مورد از آسیبپذیریهای ترمیم شده این ماه (شناسههای CVE-2022-41128 ،CVE-2022-41091 ،CVE-2022-41073 ،CVE-2022-41125 ،CVE-2022-41040 ،CVE-2022-41082 و CVE-2022-37972)، از نوع «روز-صفر» میباشند و شش مورد آن به طور گسترده در حملات مورد سوءاستفاده قرار گرفتهاند. خوشبختانه دو آسیبپذیری روز-صفر Exchange Server با شناسههای CVE-2022-41040 و CVE-2022-41082 که ProxyNotShell نیز نامیده میشوند و بهطور فعال مورد سوءاستفاده قرار گرفتهاند، توسط اصلاحیههای امنیتی ماه نوامبر 2022 توسط شرکت مایکروسافت ترمیم شدهاند. دو آسیبپذیری مذکور در 7 مهر 1401 در حملات شناسایی و گزارش شدند.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز صفر که در ماه میلادی نوامبر 2022 توسط شرکت مایکروسافت ترمیم شدهاند، میپردازیم.
- آسیبپذیری CVE-2022-41128، دارای درجه اهمیت «حیاتی» بوده و از نوع «اجرای کد از راه دور» است و Windows Scripting Language از آن متاثر میشود. بهرهجویی از این ضعف امنیتی مستلزم آن است که یک کاربر با نسخه آسیبپذیر Windows، به یک سرور مخرب یا سایت دستکاری شده مربوط به مهاجم دسترسی داشته باشد. مهاجم اغلب از طریق یک ایمیل یا یک پیام کاربر را متقاعد به بازدید از سرور یا سایت آلوده میکند.
- آسیبپذیری CVE-2022-41091، دارای درجه اهمیت «مهم» بوده و از نوع «عبور از سد امکانات امنیتی» است. مهاجم جهت بهرهجویی از این ضعف امنیتی اقدام به ایجاد یک فایل مخرب Zip مینماید. این فایل راهکار دفاعی Windows به نام Mark of the Web – به اختصار MotW – را دور میزند و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگیهای امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، میشود.
- دیگر آسیبپذیری روز صفر ترمیم شده در نوامبر 2022، ضعف امنیتی CVE-2022-41073، با درجه اهمیت «مهم» و از نوع «ترفیع اختیارات» میباشد که بر Windows Print Spooler تاثیر میگذارد. مهاجمان با سوءاستفاده از این ضعف امنیتی قادر خواهند بود که اختیاراتی را در سطح SYSTEM به دست آورند.
- ضعف امنیتی CVE-2022-41125 که Windows CNG Key Isolation Service از آن متاثر میشود، دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» میباشد. مهاجمی که موفق به بهرهجویی از این آسیبپذیری میشود، میتواند امتیازاتی را در سطح SYSTEM به دست آورد.
- دیگر ضعف امنیتی روز صفر ترمیم شده در ماه نوامبر 2022، CVE-2022-41040 است که بر Microsoft Exchange Server تاثیر میگذارد. این آسیبپذیری دارای درجه اهمیت «حیاتی» است و از نوع «ترفیع اختیارات» میباشد. مهاجم با بهرهجویی موفق از این ضعف امنیتی، توانایی اجرای PowerShell در سیستم آسیبپذیر را خواهد داشت.
- CVE-2022-37972: این ضعف امنیتی روز صفر ترمیم شده که دارای درجه اهمیت «مهم» است، از نوع «جعل» میباشد و Microsoft Endpoint Configuration Manager از آن تاثیر میپذیرد. گرچه این آسیبپذیری تاکنون در حملات مورد سوءاستفاده قرار نگرفته اما به نقل از مایکروسافت اکسپلویت آن افشای عمومی شده است.
- آخرین ضعف امنیتی روز صفر رفع شده CVE-2022-41082 میباشد. Microsoft Exchange Server از این آسیبپذیری تاثیر میپذیرد. مهاجم میتواند به عنوان یک کاربر احراز هویت شده، از طریق یک فراخوانی شبکه، کدهای دلخواه و مخرب را در حساب سرور از راه دور اجرا کند.
11 مورد از آسیبپذیریهای ترمیم شده این ماه دارای درجه اهمیت «حیاتی» میباشند که در ادامه به بررسی جزئیات برخی از این ضعفهای امنیتی میپردازیم.
- CVE-2022-38015: این ضعف امنیتی از نوع «از کاراندازی سرویس» است که Windows Hyper-V را در نسخههای مختلف Windows Server تحت تاثیر قرار میدهد. با وجود اینکه این ضعف امنیتی دارای درجه اهمیت «حیاتی» است، مایکروسافت پیچیدگی حمله و همچنین احتمال بهرهجویی از آن را «کم» اعلام نموده است.
- CVE-2022-41118: این ضعف امنیتی «حیاتی»، هر دو زبان اسکریپتنویسی Jscript9 و Chakra را در شرایطی تاثیر قرار میدهد. بهرهجویی موفق از این آسیبپذیری مستلزم تعامل کاربر است؛ به این صورت که مهاجم باید از طریق یک ایمیل یا با ارسال یک پیام، قربانی را متقاعد کند که از سرور یا سایت مخرب او بازدید نماید. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را «زیاد» اعلام نموده است.
- CVE-2022-41080: یکی دیگر از آسیبپذیریهای «حیاتی» ماه نوامبر 2022 که از نوع «ترفیع اختیارات» است، دارای شناسه CVE-2022-41080 میباشد که نسخههای مختلف Microsoft Exchange از آن متاثر میشود. مایکروسافت پیچیدگی بهرهجویی از این ضعف امنیتی را «پایین» و احتمال سوءاستفاده از آن را «زیاد» اعلام نموده است.
- CVE-2022-41039 ،CVE-2022-41044 و CVE-2022-41088: تمامی این سه ضعف امنیتی دارای درجه اهمیت «حیاتی» بوده و از نوع «اجرای کد از راه دور» میباشند. این آسیبپذیریها بر Windows Point-to-Point Tunneling Protocol – به اختصار PPTP – تاثیر میگذارند. به نقل از مایکروسافت، مهاجم جهت بهرهجویی از این ضعفهای امنیتی باید یک بسته PPTP مخرب ایجاد نموده و آن را به یک سرور PPTP بفرستد. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به اجرای کد از راه دور میباشد.
دیگر آسیبپذیری قابل توجه این ماه که ممکن است بیشتر مورد توجه مهاجمان قرار گیرد، ضعفی با شناسه CVE-2022-41049 و با درجه اهمیت «مهم» است که بر MotW تاثیر میگذارد. MotW یک ویژگی امنیتی است که فایلهایی که از اینترنت دانلود میشود را نشانهگذاری نموده و هشدار میدهد تا کاربر جوانب احتیاط را در نظر بگیرد زیرا ممکن است فایل دانلود شده مخرب باشند. بهرهجویی موفق از این آسیبپذیری نیاز به تعامل کاربر دارد و در صورت ترغیب قربانی به بازنمودن فایل دستکاری شده مهاجم، میتواند منجر به از دست دادن یکپارچگی، غیرفعال شدن قابلیت امنیتی MotW و عدم نمایش حالت حفاظت شده (Protected View) شود. گرچه این ضعف امنیتی تاکنون مورد سوءاستفاده قرار نگرفته ولی مایکروسافت احتمال بهرهجویی از آن را «زیاد» اعلام نموده است.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای نوامبر 2022 مایکروسافت در گزارش زیر قابل مطالعه است:
https://newsroom.shabakeh.net/26159/
سـیسـکو
شرکت سیسکو (Cisco Systems) در آبان ماه در چندین نوبت اقدام به عرضه بروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بروزرسانیها، 43 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 19 مورد از آنها از نوع «بالا» (High) و 24 مورد از نوع «متوسط» (Medium) گزارش شده است. آسیبپذیریهایی همچون «از کاراندازی سرویس»، «تزریق کد از طریق سایت» (Cross-Site Scripting)، «افشای اطلاعات»، «تزریق فرمان» (Command Injection) و «ترفیع اختیارات» از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
تـرلـیـکـس
در ماهی که گذشت شرکت ترلیکس (Trellix) اقدام به انتشار نسخ زیر کرد:
ePolicy Orchestrator 5.10 Update 15:
https://docs.trellix.com/bundle/trellix-epolicy-orchestrator-on-prem-5.10.0-release-notes
Application and Change Control for Linux 6.4.23:
https://docs.trellix.com/bundle/application-change-control-6.4.x-release-notes-linux
Drive Encryption 7.4.0:
https://docs.trellix.com/bundle/drive-encryption-7.4.x-release-notes
Endpoint Security for Linux 10.7.12:
https://docs.trellix.com/bundle/endpoint-security-10.7.12-threat-prevention-release-notes-linux
لازم به ذکر است ترلیکس در زمستان سال گذشته و در نتیجه ادغام دو شرکت مکآفی اینترپرایز (McAfee Enterprise) و فایرآی (FireEye) تأسیس شد و اکنون مدتی است که نسخ جدید محصولات دو شرکت سابق تحت عنوان، نشان و ساختار Trellix ارائه میشوند.
کسـپرسـکی
در هشتمین ماه از سال 1401، شرکت کسپرسکی (Kaspersky)، سه ضعف امنیتی را در برنامه Installer محصولات خانگی این شرکت، ابزار Kavremover و نرمافزار Kaspersky Endpoint Security مرتفع کرد که جزییات آن در زیر به اشتراک گذاشته شده است:
https://support.kaspersky.com/general/vulnerability.aspx?el=12430#011122
بـیـتدیـفـنـدر
در آبان 1401، شرکت بیتدیفندر (Bitdefender) نسخ جدید زیر را عرضه کرد:
Bitdefender Endpoint Security Tools for Windows 7.7.2.228:
https://www.bitdefender.com/business/support/en/77212-77540-windows-agent.html
Bitdefender Endpoint Security Tools for Linux 7.0.3.2106:
https://www.bitdefender.com/business/support/en/77212-77513-linux-agent.html
Bitdefender Endpoint Security for Mac 7.12.22.200015:
https://www.bitdefender.com/business/support/en/77212-78218-macos-agent.html
سـوفـوس
شرکت سوفوس (Sophos) در آبان ۱۴۰۱، نسخه Sophos Firewall OS V19.5 را ارائه کرد. این بروزرسانی حاوی قابلیتهای پیشرفتهای نظیر تعادل بار SD-WAN، افزایش ظرفیت IPsec VPN، مسیریابی پویا با OSPFv3 و در دسترسپذیری بالا میباشد. از طرفی با بهرهگیری از قابلیتهای رمزگذاری سختافزاری در پردازشگر Xstream Flow Processor، جریانهای ترافیک رمزنگاریشده TLS در FastPath مدلهای ۴۳۰۰، ۴۵۰۰، ۵۵۰۰ و ۶۵۰۰ سری XGS تسریع شده است. موضوعی که موجب افزایش کارایی به خصوص در حین بررسی عمیق بستههای ارتباطی میشود. جزئیات بیشتر در نشانیهای زیر قابل مطالعه میباشد:
https://newsroom.shabakeh.net/26281/sophos-firewall-v19-5-is-now-available.html
اپــل
در آبان ماه، شرکت اپل (Apple) با انتشار بروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود از جمله Safari ،watchOS ،MacOS Big Sur، tvOS ،macOS Ventura ،macOS Monterey ،iOS ،iPadOS و Xcode ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. توصیه میشود با مراجعه به نشانی زیر، بروزرسانی مربوطه هر چه سریعتر اعمال شود:
https://support.apple.com/en-us/HT201222
ویامور
شرکت ویامور (VMware)در ماهی که گذشت با انتشار توصیهنامههای امنیتی نسبت به ترمیم هفت ضعف امنیتی و بروزرسانی شش وصله پیشین در محصولات زیر اقدام کرد:
- VMware ESXi
- VMware Cloud Foundation (Cloud Foundation)
- VMware Workspace ONE Assist (Assist)
- VMware vRealize Operations
- VRealize Suite Lifecycle Manager
توصیه اکید میشود با مراجعه به نشانیهای زیر در اسرع وقت بروزرسانیهای ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
https://www.vmware.com/security/advisories/VMSA-2022-0028.html
https://www.vmware.com/security/advisories/VMSA-2022-0020.html
https://www.vmware.com/security/advisories/VMSA-2021-0021.html
مـوزیـلا
در آبان ماه، شرکت موزیلا (Mozilla) با ارائه بروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیهها، در مجموع 19 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت هشت مورد از آنها «بالا»، نه مورد «متوسط» و دو مورد «کم» (Low) گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
گـوگـل
شرکت گوگل (Google) در آبان ماه در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در آبان ماه انتشار یافت، نسخه 107./107.0.5304.106 برای Windows است. فهرست اشکالات مرتفع شده در لینک زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html
لازم به ذکر است این شرکت در تاریخ 5 آبان با انتشار یک بروزرسانی امنیتی اضطراری، ضعفی روز-صفر با شناسه CVE-2022-3723 در مرورگر Chrome را که از مدتی پیش مورد بهرهجویی مهاجمان قرار گرفته، ترمیم کرد. این آسیبپذیری باگی از نوع Type Confusion است که پویشگر Chrome V8 JavaScript از آن متأثر میشود.
گوگل اکسپلویت آسیبپذیری CVE-2022-3723 توسط مهاجمان را تایید کرده است. با توجه به بهرهجویی مهاجمان از این ضعف امنیتی به تمامی کاربران Chrome توصیه اکید میشود که از بهروز بودن این مرورگر بر روی دستگاه خود اطمینان حاصل کنند. توضیحات گوگل در خصوص آسیبپذیری CVE-2022-3723 مذکور در لینک زیر قابل دریافت و مطالعه است:
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html
سیتریـکس
در ماهی که گذشت، شرکت سیتریکس(Citrix) نیز با عرضه بروزرسانیهای امنیتی، چندین آسیبپذیری با شناسههای CVE-2022-27510 ،CVE-2022-27513 و CVE-2022-27516 را در دو محصول Citrix ADC و Citrix Gateway ترمیم کرد. سوءاستفاده از این آسیبپذیریها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه میکند. توصیه میشود راهبران امنیتی جزییات ضعفهای امنیتی مذکور را در نشانی زیر مرور کرده و بروزرسانی لازم را اعمال کنند.
https://support.citrix.com/article/CTX463706
اپناساسال
10 آبان 1401، بنیاد نرمافزاری اپن-اساسال (OpenSSL) با انتشار نسخه 3.0.7، دو آسیبپذیری با شناسههای CVE-2022-3786 و CVE-2022-3602 را ترمیم کرده است. شدت حساسیت هر دوی این آسیبپذیریها «بالا» گزارش شده است. این آسیبپذیریها، ضعفی از نوع «سرریز حافظه» (Buffer Overflow) هستند. سوءاستفاده موفق از هر کدام از ضعفهای امنیتی مذکور میتواند منجر به «ازکاراندازی سرویس» شود. با این توضیح که اکسپلویت CVE-2022-3602 میتواند در شرایطی مهاجم را قادر به اجرای از راه دور کد نیز کند.
این دو آسیبپذیری، تنها نسخ 3.0.0 تا 3.0.6 را تحت تأثیر قرار میدهند و نسخ قدیمی 1.1.1 و 1.0.2 از این ضعفهای امنیتی متاثر نمیشوند. با نصب این بروزرسانی، نگارش نسخ مذکور به 3.0.7 تغییر خواهد کرد. شدت ضعف امنیتی CVE-2022-3602 در اطلاعیه اولیه OpenSSL، «حیاتی» اعلام شده بود ولی بعداً به درجه شدت «بالا» تنزل یافت.
OpenSSL کتابخانهای است که بهصورت پیشفرض در بسیاری از توزیعهای Linux، کانتینرهای Docker و بستههای node.js و حتی محصولات امنیتی مورد استفاده قرار گرفته است. برای مثال، از جمله نسخ آسیبپذیر Linux به CVE-2022-3786 و CVE-2022-3602 میتوان به موارد زیر اشاره کرد:
- Redhat Enterprise Linux 9
- Ubuntu 22.04+
- CentOS Stream9
- Kali 2022.3
- Debian 12
- Fedora 36
توصیه میشود که راهبران امنیتی در اولین فرصت نسبت به ارتقاء این نرمافزار اقدام کنند. توضیحات کامل در این خصوص در نشانی زیر قابل دسترس است.
https://www.openssl.org/news/secadv/20221101.txt
لـنـوو
شرکت لنوو (Lenovo) دو آسیبپذیری با شناسههای CVE-2022-3430 و CVE-2022-3431 را که با شدت بالا میباشند و بر مدلهای مختلف لپتاپهای ساخت این شرکت تأثیر میگذارند ترمیم و اصلاح کرده است. بهرهجویی از آسیبپذیریهای مذکور مهاجم را قادر به غیرفعالسازی UEFI Secure Boot میکند. UEFI Secure Boot یک سازوکار کنترلی است که هدف آن جلوگیری از فراخوانی و اجرای کد مخرب در طول فرآیند راهاندازی (Boot) است.
عواقب اجرای کد مخرب در جریان بوت شدن سیستم عامل قابل توجه بوده و مهاجم را قادر به عبور از سد تمام حفاظتهای امنیتی دستگاه و در ادامه نصب و اجرای بدافزارهای دلخواه او میکند.
به تمامی کاربران لپتاپهای آسیبپذیر توصیه میشود تا برای ایمن ماندن از گزند تهدیدات احتمالی مبتنی بر این دو ضعف امنیتی اقدام به بروزرسانی Firmware کنند. فهرست دستگاههای آسیبپذیریهای مذکور در لینک زیر قابل دریافت و مطالعه است:
https://support.lenovo.com/us/en/product_security/LEN-94952
سـامـبـا
گروه سامبا (Samba Team) با عرضه بروزرسانی، یک ضعف امنیتی با شناسه CVE-2022-42898 را در نسخ مختلف نرمافزار کدباز Samba برطرف کرد. سوءاستفاده از این ضعف ترمیم شده در اختیار گرفتن کنترل سیستم آسیبپذیر را برای مهاجم فراهم میکند. فهرست آسیبپذیریهای رفع شده در نشانیهای زیر قابل مطالعه میباشد:
https://www.samba.org/samba/history/security.html
https://www.samba.org/samba/security/CVE-2022-42898.html
اف5
25 آبان 1401، اف5 (F5) اقدام به ترمیم دو ضعف امنیتی با درجه اهمیت «بالا» به شناسههای CVE-2022-41622 و CVE-2022-41800 در دو محصول BIG-IP و BIG-IQ نمود. سوءاستفاده از ضعفهای امنیتی مذکور مهاجم را قادر به اجرای کد از راه دور و در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. از آنجایی که نمونه اثباتگر (Proof-of-Concepts – به اختصار PoC) ضعف امنیتی CVE-2022-41622 منتشر شده، توصیه میشود با مراجعه به نشانیهای زیر در اسرع وقت نسبت ترمیم آسیبپذیریهای فوق اقدام شود.
https://support.f5.com/csp/article/K13325942