بروزرسانی‌ها و اصلاحیه‌های یازدهمین ماه از سال 1401

در بهمن 1401 شرکت‌های زیر اقدام به عرضه بروزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

مایکـروسافت

25 بهمن 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی فوریه 2023 منتشر کرد. اصلاحیه‌های مذکور 76 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 9 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

• «ترفیع اختیارات» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
• «عبور از سد امکانات امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

 سه مورد از آسیب‌پذیری‌های ترمیم شده این ماه (با شناسه‌های CVE-2023-21715 ،CVE-2023-21823 و CVE-2023-23376)، از نوع «روز-صفر» می‌باشند که اگرچه هیچ کدام به طور عمومی افشاء نشده‌اند ولی هر سه مورد آن به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز صفر که در ماه میلادی فوریه 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم.

• CVE-2023-21715: این آسیب‌پذیری دارای درجه اهمیت «مهم» بوده و از نوع «عبور از سد امکانات امنیتی» است. این ضعف امنیتی بر Microsoft Publisher تاثیر می‌گذارد. بکارگیری روش‌های مهندسی اجتماعی توسط مهاجم احراز هویت شده و متقاعد نمودن قربانی به باز نمودن یک سند دستکاری شده یا یک فایل از یک سایت از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری محسوب می‌شود. بهره‌جویی موفق از این نقص امنیتی منجر به دورزدن سیاست‌های حفاظتی ماکرو در Office که برای مسدودسازی فایل‌های مخرب و غیرقابل اعتماد استفاده می‌شود، خواهد شد.
• CVE-2023-23376: این آسیب‌پذیری روز صفر دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است و
  Windows Common Log File System Driver از آن متاثر می‌شود. سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM می‌نماید.
• CVE-2023-21823: این ضعف امنیتی روز صفر ترمیم شده که دارای درجه اهمیت «مهم» است، از نوع «اجرای کد از راه دور» می‌باشد و Windows Graphics Component از آن تاثیر می‌پذیرد. مهاجمی که موفق به بهره‌جویی از این آسیب‌پذیری می‌شود، می‌تواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. Microsoft Store به طور خودکار این ضعف امنیتی را در سیستم‌های آسیب‌پذیر به‌روزرسانی می‌کند. در صورتی که کاربران به‌روزرسانی‌های خودکار Microsoft Store را غیرفعال کنند، این به‌روزرسانی به‌طور خودکار برای آنها نصب و اعمال نخواهد شد.

9 مورد از آسیب‌پذیری‌های ترمیم شده این ماه دارای درجه اهمیت «حیاتی» می‌باشند که در ادامه به جزئیات برخی از آنها می‌پردازیم:

• CVE-2023-21689 ،CVE-2023-21690 و CVE-2023-21692: این سه ضعف امنیتی بر Microsoft Protected Extensible Authentication Protocol – به اختصار PEAP – تاثیر می‌گذارند و از نوع «اجرای کد از راه دور» می‌باشند. مهاجم برای بهره‌جویی از آسیب‌پذیری CVE-2023-21689 به دسترسی سطح بالا و تعامل کاربر نیازی ندارد و می‌تواند از طریق فراخوانی شبکه، کد دلخواه و مخرب را از راه دور در حساب‌های سرور اجرا کند؛ ایجاد فایل‌های مخرب PEAP و ارسال آنها به سرور موردنظر از سناریوهای بهره‌جویی مهاجم از ضعف‌های امنیتی با شناسه‌های CVE-2023-21690 و CVE-2023-21692 محسوب می‌شود. سوءاستفاده از هر سه این ضعف‌های امنیتی دارای پیچیدگی کمی است و هیچ گونه دسترسی بالا یا تعامل با کاربر مورد نیاز نمی‌باشد.
• CVE-2023-21808 ،CVE-2023-21815 و CVE-2023-23381: مهاجم با بهره‌جویی از هر سه این آسیب‌پذیری‌ها، قادر است از راه دور کد مخرب را به صورت محلی در سیستم قربانی اجرا ‌نماید. این ضعف‌های امنیتی بر NET. و Visual Studio تاثیر می‌گذارند.
• CVE-2023-21803: این آسیب‌پذیری «حیاتی» ترمیم شده در ماه فوریه، از نوع «اجرای کد از راه دور» بوده و Windows iSCSI Discovery Service از آن تاثیر می‌پذیرد. مهاجم می‌تواند با ارسال یک درخواست DHCP مخرب دستکاری‌شده به سرویس iSCSI Discovery در ماشین‌های 32 بیتی، از این ضعف امنیتی سوءاستفاده کند. بهره‌جویی موفق، مهاجم را قادر به اجرای کد مخرب بر روی سیستم مورد نظر می‌نماید.
• CVE-2023-21716: این ضعف امنیتی «حیاتی» از نوع «اجرای کد از راه دور» می‌باشد و چندین نسخه از Microsoft Word،
  Office ،SharePoint و Microsoft 365 App از آن تاثیر می‌پذیرند. جهت بهره‌جویی از این آسیب‌پذیری، مهاجم احراز هویت نشده می‌تواند یک ایمیل مخرب حاوی کد مخرب RTF را برای قربانی ارسال کند که باز نمودن آن موجب اجرای فرامین مخرب در برنامه مورد استفاده می‌شود. توصیه می‌شود ضمن اعمال به‌روزرسانی، با مراجعه به نشانی‌های زیر توصیه‌نامه مایکروسافت در خصوص چگونگی پیشگیری از باز شدن اسناد RTF از منابع ناشناخته یا نامعتبر توسط Office را مطالعه نمائید:

https://msrc.microsoft.com/blog/2008/05/ms08-026-how-to-prevent-word-from-loading-rtf-files/

https://learn.microsoft.com/en-US/office/troubleshoot/settings/file-blocked-in-office

• CVE-2023-21718: آخرین ضعف امنیتی «حیاتی» ترمیم شده در این ماه نیز از نوع «اجرای کد از راه دور» می‌باشد و Microsoft SQL ODBC Driver از آن تاثیر می‌پذیرد. یک مهاجم احراز هویت نشده می‌تواند از طریق ODBC به پایگاه داده مخرب SQL Server متصل شده و از این آسیب‌پذیری سوء‌استفاده کند. این می‌تواند منجر به بازگشت داده‌های مخرب از پایگاه داده و در نهایت اجرای کد دلخواه بر روی Client شود.

در ادامه به بررسی جزئیات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم.

• CVE-2023-21809: این ضعف امنیتی «مهم» ترمیم شده، از نوع «عبور از سد امکانات امنیتی» است؛ چنانچه با موفقیت مورد بهره‌جویی قرار گیرد، مهاجم قادر خواهد بود ویژگی مسدودسازی Attack Surface Reduction – به اختصار ASR – را در
  Windows Defender دور بزند. با این حال، برای سوء استفاده از آن، مهاجم باید کاربر را فریب دهد تا فایل‌های مخرب را اجرا کند.
• CVE-2023-21529 ،CVE-2023-21706 ،CVE-2023-21707 و CVE-2023-21710: این چهار آسیب‌پذیری دارای درجه اهمیت «مهم» می‌باشند و نسخ مختلف Microsoft Exchange Server از آنها متاثر می‌شوند. مهاجم احراز هویت شده می‌تواند از طریق فراخوانی شبکه، موفق به بهره‌جویی از این آسیب‌پذیری‌ها شده و یک کد دلخواه مخرب را از راه دور در حساب‌های سرور اجرا نماید.
• CVE-2023-21695: از دیگر ضعف‌های امنیتی این ماه که بر PEAP تاثیر می‌گذارد، CVE-2023-21695 است که از نوع «اجرای کد از راه دور» می‌باشد و بر خلاف آسیب‌پذیری‌های CVE-2023-21689 ،CVE-2023-21690 و CVE-2023-21692 دارای درجه اهمیت «مهم» است. یک مهاجم احراز هویت شده می‌تواند با ارسال بسته‌های مخرب PEAP بر روی شبکه، به سرور PEAP حمله کند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های فوریه 2023 مایکروسافت در گزارش زیر قابل مطالعه است:

https://newsroom.shabakeh.net/26995/

سـیـسـکو

شرکت سیسکو (Cisco Systems) در بهمن ماه در چندین نوبت اقدام به عرضه بروز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این بروز‌رسانی‌ها، 23 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 2 مورد از آنها از نوع «حیاتی»، 11 مورد از آنها از نوع «بالا» (High) و 10 مورد از نوع «متوسط» (Medium) گزارش شده است. آسیب‌پذیری‌هایی همچون «تزریق کد از طریق سایت» (Cross site Scripting)، «از کاراندازی سرویس»، «‌ترفیع اختیارات»، «سرریز حافظه» (Memory Overflow) و «تزریق فرمان» (Command Injection) از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

 تـرلـیـکـس

در ماهی که گذشت شرکت ترلیکس (Trellix)، نسخه 11.10 نرم‌افزار Trellix DLP Endpoint را منتشر کرد. در نسخه جدبد، باگ‌های شناخته‌شده DLP Endpoint و یک آسیب‌پذیری با درجه حساسیت «متوسط» به شناسه CVE-2023-0400 برطرف و اصلاح شده است. جزییات بیشتر در خصوص نسخه 11.10 نرم‌افزار DLP Endpoint در لینک زیر قابل دریافت و مطالعه است:

https://docs.trellix.com/bundle/data-loss-prevention-endpoint-windows-11.10.x-release-notes/page/GUID-7CAFB9DA-7CDC-482D-AEC0-54FCBC00D617.html

 فـورتـی‌نـت

در ماهی که گذشت شرکت فورتی‌نت (Fortinet) با انتشار چندین توصیه‌نامه‌‌ از ترمیم 40 ضعف امنیتی در محصولات این شرکت خبر داد. درجه اهمیت دو مورد از آنها «حیاتی»، 15 مورد از آنها از نوع «بالا»، 22 مورد از نوع «متوسط» و یک مورد از نوع «کم» گزارش شده است. جزییات بیشتر در خصوص ضعف‌های امنیتی مذکور در لینک زیر قابل مطالعه است:

https://www.fortiguard.com/psirt

اپــل

در بهمن ماه، شرکت اپل (Apple) با انتشار بروزرسانی، ضعف‌های امنیتی متعددی را در چندین محصول خود از جمله Safari ،watchOS ،MacOS Big Sur ،tvOS ،macOS ،macOS Ventura ،macOS Monterey ،iOS و iPadOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://support.apple.com/en-us/HT201222

گـوگـل

شرکت گوگل (Google) در بهمن ماه در چندین نوبت اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 27 بهمن ماه انتشار یافت، نسخه 110.0.5481.104 برای Windows است. فهرست اشکالات مرتفع شده در نشانی زیر قابل دریافت و مشاهده است: 

https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_16.html

وی‌ام‌ور

شرکت وی‌ام‌ور (VMware) در ماهی که گذشت با انتشار توصیه‌نامه‌های‌ امنیتی نسبت به ترمیم 2 ضعف امنیتی و به‌روزرسانی 4 وصله پیشین در محصولات زیر اقدام کرد:

• VMware Workstation
• VMware vRealize Log Insight
• VMware vRealize Operations (vROps)

بیشترین تعداد ضعف‌های امنیتی ترمیم شده مربوط به محصول vRealize Log Insight می‌باشد. شدت دو مورد از آسیب‌پذیری‌های مذکور، «حیاتی» گزارش شده و سوءاستفاده موفق از هر یک از آن‌ها مهاجم را در نهایت قادر به اجرای از راه دور کد بدون نیاز به اصالت‌سنجی می‌کند.

چهار آسیب‌پذیری vRealize Log Insight که فهرست آن‌ها به شرح زیر است در نسخه 8.10.2 این محصول ترمیم و اصلاح شده است.

• CVE-2022-31706 که ضعفی از نوع Directory Traversal و شدت 9.8 از 10 (بر طبق استاندارد CVSS) است. بهره‌جویی موفق از آن مهاجم احراز هویت نشده را قادر به تزریق کد در سیستم عامل و در ادامه اجرای از راه دور کد می‌کند.
• CVE-2022-31704 که ضعفی از نوع Broken Access Control و با شدت 9.8 از 10 است. مهاجم با سوءاستفاده از این آسیب‌پذیری قادر خواهد بود بدون احراز هویت فایل‌های موردنظر خود را به سیستم عامل تزریق نموده و کد را به صورت از راه دور اجرا نماید.
• CVE-2022-31710 که ضعفی از نوع Deserialization بوده و بهره‌جویی موفق از آن می‌تواند منجر به «از کار اندازی سرویس» شود.
• CVE-2022-31711 که ضعفی از نوع Information Disclosure بوده و سوءاستفاده از آن امکان سرقت اطلاعات بالقوه حساس را برای مهاجم احراز هویت نشده فراهم می‌کند.

تمامی این آسیب‌پذیری‌ها در پیکربندی پیش‌فرض محصول VMware vRealize Log Insight با کمترین پیچیدگی قابل بهره‌‌جویی هستند.

توصیه اکید می‌شود با مراجعه به نشانی‌های زیر در اسرع وقت بروزرسانی‌های‌ ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:

https://www.vmware.com/security/advisories/VMSA-2023-0001.html

https://www.vmware.com/security/advisories/VMSA-2023-0002.html

https://www.vmware.com/security/advisories/VMSA-2023-0003.html

مـوزیـلا

در بهمن ماه، شرکت موزیلا (Mozilla) با ارائه بروزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیه‌ها، در مجموع 22 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت 12 مورد از آنها «بالا»، چهار مورد «متوسط» و شش مورد «کم» گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

ادوبـی

شرکت ادوبی (Adobe) مجموعه اصلاحیه‌های امنیتی فوریه 2023 را منتشر کرد. اصلاحیه‌های مذکور، در مجموع 28 آسیب‌پذیری را در 9 محصول زیر ترمیم می‌کنند. 19 مورد از این ضعف‌های امنیتی دارای درجه اهمیت «حیاتی» می‌باشند.

• Adobe After Effects
• Adobe Connect
• Adobe FrameMaker
• Adobe Bridge
• Adobe Photoshop
• Adobe InDesign
• Adobe Premiere Rush
• Adobe Animate
• Adobe Substance 3D

اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه فوریه 2023 ادوبی در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

دروپـال

12 بهمن 1401، جامعه دروپال (Drupal Community) با عرضه بروزرسانی‌ امنیتی، یک ضعف‌ امنیتی با درجه اهمیت «نسبتاً حیاتی» (Moderately Critical) را در ماژول‌ Apigee X / Edge نسخه Drupal 9.x. ترمیم نمود. سوءاستفاده از این آسیب‌پذیری،‌ مهاجم را قادر به دور زدن مجوزها و افشا اطلاعات حساس و حیاتی خواهد کرد. با نصب این بروزرسانی‌، این ماژول‌ در نسخه Apigee Edge 2.0 به Apigee Edge 2.0.8 و در نسخه Apigee Edge 8.x-1.x به Apigee Edge 8.x-1.27 تغییر خواهد کرد. توضیحات کامل در خصوص این بروزرسانی‌ و توصیه‌نامه‌ منتشر شده، در نشانی‌ زیر در دسترس می‌باشد:

https://www.drupal.org/security

اپن‌اس‌اس‌ال

18 بهمن 1401، بنیاد نرم‌افزاری اپن-اس‌اس‌ال (OpenSSL Software Foundation) با عرضه بروزرسانی‌های‌ امنیتی، ضعف‌های‌ امنیتی متعددی را در نسخه‌های 3.0، 1.1.1 و 1.0.2 نرم‌افزار OpenSSL ترمیم نموده است. با نصب این بروزرسانی‌، نسخه نرم‌افزار OpenSSL نگارش ۳.۰ به 3.0.8، نگارش‌ ۱.۱.۱ به 1.1.1t و نگارش 1.0.2 به 1.0.2zg تغییر خواهند کرد. سوءاستفاده از بعضی از این آسیب‌پذیری‌ها مهاجم را قادر به اجرای حملاتی نظیر «از کاراندازی سرویس» و «نشت اطلاعات حافظه» (Memory Content Disclosure) نظیر افشای کلیدهای خصوصی و اطلاعات حساس می‌‌کند. از این رو توصیه می‌شود که راهبران امنیتی در اولین فرصت نسبت به ارتقاء این نرم‌افزار اقدام کنند. توضیحات کامل در این خصوص در نشانی‌ زیر قابل دسترس است.

https://www.openssl.org/news/secadv/20230207.txt

سیتریـکس

شرکت سیتریکس (Citrix) نیز با عرضه بروزرسانی‌های امنیتی، چندین آسیب‌پذیری با شناسه‌های CVE-2023-24486 ،CVE-2023-24484 ،CVE-2023-24485 و CVE-2023-24483 را در محصولات Citrix Workspace App ،Citrix Virtual App و Citrix Desktop ترمیم کرد. سوءاستفاده از این آسیب‌پذیری‌ها،‌ مهاجم را قادر به در اختیار گرفتن کنترل سامانه می‌کند. توصیه می‌شود راهبران امنیتی جزییات ضعف‌‌های امنیتی مذکور را در نشانی‌های زیر مرور کرده و بروزرسانی‌ لازم را اعمال کنند.

https://support.citrix.com/article/CTX477616/

https://support.citrix.com/article/CTX477617/

https://support.citrix.com/article/CTX477618/

 آسـیب‌پـذیـری‌هـای در حـال بهـره‌جـویی

در بهمن 1401، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به «فهرست آسیب‌پذیری‌های در حال بهره‌جویی» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

• CVE-2022-46169 (Cacti):

https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

• CVE-2023-21715 (Microsoft Office):

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21715

• CVE-2023-23376 (Microsoft Windows):

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376

• CVE-2023-23529 (Apple):

https://support.apple.com/en-us/HT213635

https://support.apple.com/en-us/HT213633

https://support.apple.com/en-us/HT213638

• CVE-2023-21823 (Microsoft Windows):

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21823

• CVE-2015-2291 (Intel, Ethernet Diagnostics Driver for Windows):

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00051.html

• CVE-2022-24990 (TerraMaster, TerraMaster OS):

https://forum.terra-master.com/en/viewtopic.php?t=3030

• CVE-2023-0669 (Fortra, GoAnywhere MFT):

https://my.goanywhere.com/webclient/DownloadProductFiles.xhtml

• CVE-2022-21587 (Oracle, E-Business Suite):

https://www.oracle.com/security-alerts/cpuoct2022.html

• CVE-2023-22952 (SugarCRM):

https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2023-001/

• CVE-2017-11357 (Telerik, User Interface (UI) for ASP.NET AJAX ):

https://docs.telerik.com/devtools/aspnet-ajax/knowledge-base/asyncupload-insecure-direct-object-reference

• CVE-2022-47966 (Zoho, ManageEngine):

https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.