بروزرسانیها و اصلاحیههای یازدهمین ماه از سال 1401
در بهمن 1401 شرکتهای زیر اقدام به عرضه بروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
مایکـروسافت
25 بهمن 1401، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی فوریه 2023 منتشر کرد. اصلاحیههای مذکور 76 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 9 مورد از آسیبپذیریهای ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «ترفیع اختیارات» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
- «عبور از سد امکانات امنیتی» (Security Feature Bypass)
- «جعل» (Spoofing)
سه مورد از آسیبپذیریهای ترمیم شده این ماه (با شناسههای CVE-2023-21715 ،CVE-2023-21823 و CVE-2023-23376)، از نوع «روز-صفر» میباشند که اگرچه هیچ کدام به طور عمومی افشاء نشدهاند ولی هر سه مورد آن به طور گسترده در حملات مورد سوءاستفاده قرار گرفتهاند.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز صفر که در ماه میلادی فوریه 2023 توسط شرکت مایکروسافت ترمیم شدهاند، میپردازیم.
- CVE-2023-21715: این آسیبپذیری دارای درجه اهمیت «مهم» بوده و از نوع «عبور از سد امکانات امنیتی» است. این ضعف امنیتی بر Microsoft Publisher تاثیر میگذارد. بکارگیری روشهای مهندسی اجتماعی توسط مهاجم احراز هویت شده و متقاعد نمودن قربانی به باز نمودن یک سند دستکاری شده یا یک فایل از یک سایت از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیبپذیری محسوب میشود. بهرهجویی موفق از این نقص امنیتی منجر به دورزدن سیاستهای حفاظتی ماکرو در Office که برای مسدودسازی فایلهای مخرب و غیرقابل اعتماد استفاده میشود، خواهد شد.
- CVE-2023-23376: این آسیبپذیری روز صفر دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است و
Windows Common Log File System Driver از آن متاثر میشود. سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM مینماید. - CVE-2023-21823: این ضعف امنیتی روز صفر ترمیم شده که دارای درجه اهمیت «مهم» است، از نوع «اجرای کد از راه دور» میباشد و Windows Graphics Component از آن تاثیر میپذیرد. مهاجمی که موفق به بهرهجویی از این آسیبپذیری میشود، میتواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. Microsoft Store به طور خودکار این ضعف امنیتی را در سیستمهای آسیبپذیر بهروزرسانی میکند. در صورتی که کاربران بهروزرسانیهای خودکار Microsoft Store را غیرفعال کنند، این بهروزرسانی بهطور خودکار برای آنها نصب و اعمال نخواهد شد.
9 مورد از آسیبپذیریهای ترمیم شده این ماه دارای درجه اهمیت «حیاتی» میباشند که در ادامه به جزئیات برخی از آنها میپردازیم:
- CVE-2023-21689 ،CVE-2023-21690 و CVE-2023-21692: این سه ضعف امنیتی بر Microsoft Protected Extensible Authentication Protocol – به اختصار PEAP – تاثیر میگذارند و از نوع «اجرای کد از راه دور» میباشند. مهاجم برای بهرهجویی از آسیبپذیری CVE-2023-21689 به دسترسی سطح بالا و تعامل کاربر نیازی ندارد و میتواند از طریق فراخوانی شبکه، کد دلخواه و مخرب را از راه دور در حسابهای سرور اجرا کند؛ ایجاد فایلهای مخرب PEAP و ارسال آنها به سرور موردنظر از سناریوهای بهرهجویی مهاجم از ضعفهای امنیتی با شناسههای CVE-2023-21690 و CVE-2023-21692 محسوب میشود. سوءاستفاده از هر سه این ضعفهای امنیتی دارای پیچیدگی کمی است و هیچ گونه دسترسی بالا یا تعامل با کاربر مورد نیاز نمیباشد.
- CVE-2023-21808 ،CVE-2023-21815 و CVE-2023-23381: مهاجم با بهرهجویی از هر سه این آسیبپذیریها، قادر است از راه دور کد مخرب را به صورت محلی در سیستم قربانی اجرا نماید. این ضعفهای امنیتی بر NET. و Visual Studio تاثیر میگذارند.
- CVE-2023-21803: این آسیبپذیری «حیاتی» ترمیم شده در ماه فوریه، از نوع «اجرای کد از راه دور» بوده و Windows iSCSI Discovery Service از آن تاثیر میپذیرد. مهاجم میتواند با ارسال یک درخواست DHCP مخرب دستکاریشده به سرویس iSCSI Discovery در ماشینهای 32 بیتی، از این ضعف امنیتی سوءاستفاده کند. بهرهجویی موفق، مهاجم را قادر به اجرای کد مخرب بر روی سیستم مورد نظر مینماید.
- CVE-2023-21716: این ضعف امنیتی «حیاتی» از نوع «اجرای کد از راه دور» میباشد و چندین نسخه از Microsoft Word،
Office ،SharePoint و Microsoft 365 App از آن تاثیر میپذیرند. جهت بهرهجویی از این آسیبپذیری، مهاجم احراز هویت نشده میتواند یک ایمیل مخرب حاوی کد مخرب RTF را برای قربانی ارسال کند که باز نمودن آن موجب اجرای فرامین مخرب در برنامه مورد استفاده میشود. توصیه میشود ضمن اعمال بهروزرسانی، با مراجعه به نشانیهای زیر توصیهنامه مایکروسافت در خصوص چگونگی پیشگیری از باز شدن اسناد RTF از منابع ناشناخته یا نامعتبر توسط Office را مطالعه نمائید:
https://msrc.microsoft.com/blog/2008/05/ms08-026-how-to-prevent-word-from-loading-rtf-files/
https://learn.microsoft.com/en-US/office/troubleshoot/settings/file-blocked-in-office
- CVE-2023-21718: آخرین ضعف امنیتی «حیاتی» ترمیم شده در این ماه نیز از نوع «اجرای کد از راه دور» میباشد و Microsoft SQL ODBC Driver از آن تاثیر میپذیرد. یک مهاجم احراز هویت نشده میتواند از طریق ODBC به پایگاه داده مخرب SQL Server متصل شده و از این آسیبپذیری سوءاستفاده کند. این میتواند منجر به بازگشت دادههای مخرب از پایگاه داده و در نهایت اجرای کد دلخواه بر روی Client شود.
در ادامه به بررسی جزئیات دیگر آسیبپذیریهای اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، میپردازیم.
- CVE-2023-21809: این ضعف امنیتی «مهم» ترمیم شده، از نوع «عبور از سد امکانات امنیتی» است؛ چنانچه با موفقیت مورد بهرهجویی قرار گیرد، مهاجم قادر خواهد بود ویژگی مسدودسازی Attack Surface Reduction – به اختصار ASR – را در
Windows Defender دور بزند. با این حال، برای سوء استفاده از آن، مهاجم باید کاربر را فریب دهد تا فایلهای مخرب را اجرا کند. - CVE-2023-21529 ،CVE-2023-21706 ،CVE-2023-21707 و CVE-2023-21710: این چهار آسیبپذیری دارای درجه اهمیت «مهم» میباشند و نسخ مختلف Microsoft Exchange Server از آنها متاثر میشوند. مهاجم احراز هویت شده میتواند از طریق فراخوانی شبکه، موفق به بهرهجویی از این آسیبپذیریها شده و یک کد دلخواه مخرب را از راه دور در حسابهای سرور اجرا نماید.
- CVE-2023-21695: از دیگر ضعفهای امنیتی این ماه که بر PEAP تاثیر میگذارد، CVE-2023-21695 است که از نوع «اجرای کد از راه دور» میباشد و بر خلاف آسیبپذیریهای CVE-2023-21689 ،CVE-2023-21690 و CVE-2023-21692 دارای درجه اهمیت «مهم» است. یک مهاجم احراز هویت شده میتواند با ارسال بستههای مخرب PEAP بر روی شبکه، به سرور PEAP حمله کند.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای فوریه 2023 مایکروسافت در گزارش زیر قابل مطالعه است:
https://newsroom.shabakeh.net/26995/
سـیـسـکو
شرکت سیسکو (Cisco Systems) در بهمن ماه در چندین نوبت اقدام به عرضه بروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بروزرسانیها، 23 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 2 مورد از آنها از نوع «حیاتی»، 11 مورد از آنها از نوع «بالا» (High) و 10 مورد از نوع «متوسط» (Medium) گزارش شده است. آسیبپذیریهایی همچون «تزریق کد از طریق سایت» (Cross site Scripting)، «از کاراندازی سرویس»، «ترفیع اختیارات»، «سرریز حافظه» (Memory Overflow) و «تزریق فرمان» (Command Injection) از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
تـرلـیـکـس
در ماهی که گذشت شرکت ترلیکس (Trellix)، نسخه 11.10 نرمافزار Trellix DLP Endpoint را منتشر کرد. در نسخه جدبد، باگهای شناختهشده DLP Endpoint و یک آسیبپذیری با درجه حساسیت «متوسط» به شناسه CVE-2023-0400 برطرف و اصلاح شده است. جزییات بیشتر در خصوص نسخه 11.10 نرمافزار DLP Endpoint در لینک زیر قابل دریافت و مطالعه است:
فـورتـینـت
در ماهی که گذشت شرکت فورتینت (Fortinet) با انتشار چندین توصیهنامه از ترمیم 40 ضعف امنیتی در محصولات این شرکت خبر داد. درجه اهمیت دو مورد از آنها «حیاتی»، 15 مورد از آنها از نوع «بالا»، 22 مورد از نوع «متوسط» و یک مورد از نوع «کم» گزارش شده است. جزییات بیشتر در خصوص ضعفهای امنیتی مذکور در لینک زیر قابل مطالعه است:
https://www.fortiguard.com/psirt
اپــل
در بهمن ماه، شرکت اپل (Apple) با انتشار بروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود از جمله Safari ،watchOS ،MacOS Big Sur ،tvOS ،macOS ،macOS Ventura ،macOS Monterey ،iOS و iPadOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
گـوگـل
شرکت گوگل (Google) در بهمن ماه در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 27 بهمن ماه انتشار یافت، نسخه 110.0.5481.104 برای Windows است. فهرست اشکالات مرتفع شده در نشانی زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_16.html
ویامور
شرکت ویامور (VMware) در ماهی که گذشت با انتشار توصیهنامههای امنیتی نسبت به ترمیم 2 ضعف امنیتی و بهروزرسانی 4 وصله پیشین در محصولات زیر اقدام کرد:
- VMware Workstation
- VMware vRealize Log Insight
- VMware vRealize Operations (vROps)
بیشترین تعداد ضعفهای امنیتی ترمیم شده مربوط به محصول vRealize Log Insight میباشد. شدت دو مورد از آسیبپذیریهای مذکور، «حیاتی» گزارش شده و سوءاستفاده موفق از هر یک از آنها مهاجم را در نهایت قادر به اجرای از راه دور کد بدون نیاز به اصالتسنجی میکند.
چهار آسیبپذیری vRealize Log Insight که فهرست آنها به شرح زیر است در نسخه 8.10.2 این محصول ترمیم و اصلاح شده است.
- CVE-2022-31706 که ضعفی از نوع Directory Traversal و شدت 9.8 از 10 (بر طبق استاندارد CVSS) است. بهرهجویی موفق از آن مهاجم احراز هویت نشده را قادر به تزریق کد در سیستم عامل و در ادامه اجرای از راه دور کد میکند.
- CVE-2022-31704 که ضعفی از نوع Broken Access Control و با شدت 9.8 از 10 است. مهاجم با سوءاستفاده از این آسیبپذیری قادر خواهد بود بدون احراز هویت فایلهای موردنظر خود را به سیستم عامل تزریق نموده و کد را به صورت از راه دور اجرا نماید.
- CVE-2022-31710 که ضعفی از نوع Deserialization بوده و بهرهجویی موفق از آن میتواند منجر به «از کار اندازی سرویس» شود.
- CVE-2022-31711 که ضعفی از نوع Information Disclosure بوده و سوءاستفاده از آن امکان سرقت اطلاعات بالقوه حساس را برای مهاجم احراز هویت نشده فراهم میکند.
تمامی این آسیبپذیریها در پیکربندی پیشفرض محصول VMware vRealize Log Insight با کمترین پیچیدگی قابل بهرهجویی هستند.
توصیه اکید میشود با مراجعه به نشانیهای زیر در اسرع وقت بروزرسانیهای ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:
https://www.vmware.com/security/advisories/VMSA-2023-0001.html
https://www.vmware.com/security/advisories/VMSA-2023-0002.html
https://www.vmware.com/security/advisories/VMSA-2023-0003.html
مـوزیـلا
در بهمن ماه، شرکت موزیلا (Mozilla) با ارائه بروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیهها، در مجموع 22 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت 12 مورد از آنها «بالا»، چهار مورد «متوسط» و شش مورد «کم» گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
ادوبـی
شرکت ادوبی (Adobe) مجموعه اصلاحیههای امنیتی فوریه 2023 را منتشر کرد. اصلاحیههای مذکور، در مجموع 28 آسیبپذیری را در 9 محصول زیر ترمیم میکنند. 19 مورد از این ضعفهای امنیتی دارای درجه اهمیت «حیاتی» میباشند.
- Adobe After Effects
- Adobe Connect
- Adobe FrameMaker
- Adobe Bridge
- Adobe Photoshop
- Adobe InDesign
- Adobe Premiere Rush
- Adobe Animate
- Adobe Substance 3D
اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه فوریه 2023 ادوبی در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
دروپـال
12 بهمن 1401، جامعه دروپال (Drupal Community) با عرضه بروزرسانی امنیتی، یک ضعف امنیتی با درجه اهمیت «نسبتاً حیاتی» (Moderately Critical) را در ماژول Apigee X / Edge نسخه Drupal 9.x. ترمیم نمود. سوءاستفاده از این آسیبپذیری، مهاجم را قادر به دور زدن مجوزها و افشا اطلاعات حساس و حیاتی خواهد کرد. با نصب این بروزرسانی، این ماژول در نسخه Apigee Edge 2.0 به Apigee Edge 2.0.8 و در نسخه Apigee Edge 8.x-1.x به Apigee Edge 8.x-1.27 تغییر خواهد کرد. توضیحات کامل در خصوص این بروزرسانی و توصیهنامه منتشر شده، در نشانی زیر در دسترس میباشد:
https://www.drupal.org/security
اپناساسال
18 بهمن 1401، بنیاد نرمافزاری اپن-اساسال (OpenSSL Software Foundation) با عرضه بروزرسانیهای امنیتی، ضعفهای امنیتی متعددی را در نسخههای 3.0، 1.1.1 و 1.0.2 نرمافزار OpenSSL ترمیم نموده است. با نصب این بروزرسانی، نسخه نرمافزار OpenSSL نگارش ۳.۰ به 3.0.8، نگارش ۱.۱.۱ به 1.1.1t و نگارش 1.0.2 به 1.0.2zg تغییر خواهند کرد. سوءاستفاده از بعضی از این آسیبپذیریها مهاجم را قادر به اجرای حملاتی نظیر «از کاراندازی سرویس» و «نشت اطلاعات حافظه» (Memory Content Disclosure) نظیر افشای کلیدهای خصوصی و اطلاعات حساس میکند. از این رو توصیه میشود که راهبران امنیتی در اولین فرصت نسبت به ارتقاء این نرمافزار اقدام کنند. توضیحات کامل در این خصوص در نشانی زیر قابل دسترس است.
https://www.openssl.org/news/secadv/20230207.txt
سیتریـکس
شرکت سیتریکس (Citrix) نیز با عرضه بروزرسانیهای امنیتی، چندین آسیبپذیری با شناسههای CVE-2023-24486 ،CVE-2023-24484 ،CVE-2023-24485 و CVE-2023-24483 را در محصولات Citrix Workspace App ،Citrix Virtual App و Citrix Desktop ترمیم کرد. سوءاستفاده از این آسیبپذیریها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه میکند. توصیه میشود راهبران امنیتی جزییات ضعفهای امنیتی مذکور را در نشانیهای زیر مرور کرده و بروزرسانی لازم را اعمال کنند.
https://support.citrix.com/article/CTX477616/
https://support.citrix.com/article/CTX477617/
https://support.citrix.com/article/CTX477618/
آسـیبپـذیـریهـای در حـال بهـرهجـویی
در بهمن 1401، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به «فهرست آسیبپذیریهای در حال بهرهجویی» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2022-46169 (Cacti):
https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf
- CVE-2023-21715 (Microsoft Office):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21715
- CVE-2023-23376 (Microsoft Windows):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376
- CVE-2023-23529 (Apple):
https://support.apple.com/en-us/HT213635
https://support.apple.com/en-us/HT213633
https://support.apple.com/en-us/HT213638
- CVE-2023-21823 (Microsoft Windows):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21823
- CVE-2015-2291 (Intel, Ethernet Diagnostics Driver for Windows):
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00051.html
- CVE-2022-24990 (TerraMaster, TerraMaster OS):
https://forum.terra-master.com/en/viewtopic.php?t=3030
- CVE-2023-0669 (Fortra, GoAnywhere MFT):
https://my.goanywhere.com/webclient/DownloadProductFiles.xhtml
- CVE-2022-21587 (Oracle, E-Business Suite):
https://www.oracle.com/security-alerts/cpuoct2022.html
- CVE-2023-22952 (SugarCRM):
https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2023-001/
- CVE-2017-11357 (Telerik, User Interface (UI) for ASP.NET AJAX ):
- CVE-2022-47966 (Zoho, ManageEngine):
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.