بهروزرسانیها و اصلاحیههای آخرین ماه از سال 1401
در اسفند 1401 شرکتهای زیر اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
| ||
|
مایکـروسافت
23 اسفند 1401، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد. اصلاحیههای مذکور 80 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 9 مورد از آسیبپذیریهای ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «افزایش سطح دسترسی» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «منع سرویس» (Denial of Service – به اختصار DoS)
- «دور زدن مکانیزمهای امنیتی» (Security Feature Bypass)
- «جعل» (Spoofing)
دو مورد از آسیبپذیریهای ترمیم شده این ماه (با شناسههای CVE-2023-23397 و CVE-2023-24880)، از نوع «روز-صفر» میباشند که اگرچه تنها یک مورد (CVE-2023-24880) به طور عمومی افشاء شده ولی هر دو مورد آن به طور گسترده در حملات مورد سوءاستفاده قرار گرفتهاند.
لازم به ذکر است که PoC یکی از ضعفهای امنیتی (CVE-2022-43552) که پیشتر وصله آن ارائه شده بود نیز منتشر شده است؛ این آسیبپذیری که Open Source Curl موجود در چندین محصول مایکروسافت نظیر Windows Server ،Windows Desktop و CBL-Mariner 2.0 – یکی از نسخ سیستمعامل Linux که مایکروسافت برای بسترهای ابری آن را توسعه داده – از آن تاثیر میپذیرد، در ماه مارس 2023 مجدد بهروزرسانی شده است. Open Source Curl یکی از ابزارهای خط فرمان (Command Line) است که برای ارسال داده با پروتکلهای مختلف شبکه مورد استفاده قرار میگیرد.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز-صفر که در ماه میلادی مارس 2023 توسط شرکت مایکروسافت ترمیم شدهاند، میپردازیم:
- CVE-2023-23397: این آسیبپذیری روز-صفر دارای درجه اهمیت «بحرانی» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Microsoft Outlook تاثیر میگذارد. مهاجم میتواند با ارسال یک ایمیل دستکاری شده از این آسیبپذیری سوءاستفاده نموده و منجر به اتصال قربانی به یک UNC خارجی تحت کنترل مهاجم شود. در این صورت مهاجم قادر به دستیابی به هش Net-NTLMv2 حساب Windows قربانی بوده و میتواند این را به سرویس دیگری منتقل کند و از این طریق احراز هویت شود. مایکروسافت هشدار داده که این ضعف امنیتی بهطور خودکار هنگام بازیابی و پردازش توسط سرور ایمیل (Email Server)، قبل از خواندن ایمیل در صفحه پیشنمایش (Preview Pane) فعال میشود.
- CVE-2023-24880: این آسیبپذیری ترمیم شده، دارای درجه اهمیت «میانه» (Moderate) بوده و Windows SmartScreen از آن متاثر میشود. مهاجم میتواند با ایجاد فایلی مخرب، راهکار دفاعی Windows به نام Mark of the Web- به اختصار MotW – را دور زده و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگیهای امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، شود. در صورت سوءاستفاده موفق از این ضعف امنیتی، مهاجم قادر خواهد بود فایل مخرب را بدون ایجاد هشدار امنیتی MotW اجرا نماید. مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی جهت توزیع و اجرای بدافزارها سوءاستفاده میکنند.
علاوه بر ضعف امنیتی روز-صفر CVE-2023-23397 که دارای درجه اهمیت «بحرانی» میباشد، 8 مورد از دیگر آسیبپذیریهای ترمیم شده ماه مارس 2023 دارای درجه اهمیت «بحرانی» میباشند که در ادامه به جزئیات برخی از آنها میپردازیم:
- CVE-2023-23411: این ضعف امنیتی «بحرانی» ترمیم شده، از نوع «منع سرویس» میباشد و Windows Hyper-V را تحت تاثیر قرار میدهد. سوءاستفاده از این آسیبپذیری به تعامل کاربر نیازی ندارد و پس از سوءاستفاده موفق، مهاجم سرور Hyper-V را در اختیار دارد.
- CVE-2023-23392: این آسیبپذیری بر HTTP Protocol Stack تاثیر میگذارد و از نوع «اجرای کد از راه دور» میباشد. مایکروسافت احتمال داده که این ضعف امنیتی «بحرانی» تا 30 روز پس از انتشار وصله، مورد سوءاستفاده قرار بگیرد. ضعف امنیتی مذکور از راه دور قابل سوءاستفاده بوده و نیازی به تعامل کاربر یا در اختیار داشتن امتیازات سیستم ندارد. مهاجم با ارسال یک بسته مخرب دستکاری شده به سرور هدف که ازsys (HTTP Protocol Stack) برای پردازش بستهها استفاده میکند، از این ضعف سوءاستفاده مینماید. جالب اینجاست که این ضعف امنیتی فقط آخرین نسخههای سیستمعامل Windows (Windows 11 و Windows Server 2022) را تحت تاثیر قرار میدهد.
- CVE-2023-23416: این آسیبپذیری بر Windows Cryptographic Services – مجموعهای از ابزارهای رمزنگاری در Windows – تاثیر میگذارد و از نوع «اجرای کد از راه دور» میباشد. بکارگیری یک گواهینامه مخرب توسط مهاجم احراز هویت شده و یا متقاعد نمودن قربانی به باز نمودن یک گواهینامه دستکاری شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیبپذیری محسوب میشود. مایکروسافت احتمال سوءاستفاده موفق از این نقص امنیتی را بالا ارزیابی کرده است.
- CVE-2023-23415: این آسیبپذیری از نوع «اجرای کد از راه دور» بوده و بر Internet Control Message Protocol – به اختصار ICMP – تاثیر میگذارد. این آسیبپذیری مربوط به نحوه مدیریت بستههای ICMP توسط سیستمعامل است؛ زمانی که یک برنامه در حال اجرا بر روی سرور آسیبپذیر Windows به یک سوکت خام متصل میشود. مهاجم با ارسال یک بسته IP مخرب و تکه تکه شده به یک هدف آسیبپذیر قادر به اجرای کد دلخواه میباشد. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را بالا اعلام نموده است. سوءاستفاده از این آسیبپذیری که به یک پروتکل گزارش خطا مربوط میشود، نیازی به دسترسی به امتیازات سیستم یا تعامل کاربر ندارد.
- CVE-2023-21708: این ضعفامنیتی از نوع «اجرای کد از راه دور» بوده و Remote Procedure Call Runtime از آن تاثیر میپذیرد. یک مهاجم احراز هویت نشده با فراخوانی RPC دستکاری شده در سرور RPC قادر به سوءاستفاده از این آسیبپذیری میباشد. این میتواند منجر به اجرای کد از راه دور در سمت سرور با همان مجوزهای سرویس RPC شود. مسدودسازی پورت TCP 135 در فایروال سازمان بهترین راهکار توصیه شده است که میتواند احتمال برخی از حملات احتمالی علیه این آسیبپذیری را کاهش دهد.
- CVE-2023-1017 و CVE-2023-1018: این دو آسیبپذیری «بحرانی» ترمیم شده، Trusted Platform Module (TPM) Module Library را تحت تاثیر قرار میدهند. این CVE مربوط به یک آسیبپذیری در یک درایور ثالث است. مهاجم با اجرای فرامین مخرب TPM از یک VM Guest بر روی سرور مورد نظری که Hyper-V را اجرا میکند، قادر به نوشتن خارج از محدوده در پارتیشن ریشه (Root) میشود. مهاجم با سوءاستفاده از این ضعف امنیتی قادر است تا 2 بایت داده را در انتهای فرمان TPM2.0در روتین CryptParameterDecryption بنویسید. سوءاستفاده موفق از این آسیبپذیری میتواند منجر به منع سرویس (از کار انداختن تراشه/پروسه TPM یا غیرقابل استفاده شدن آن) و/یا اجرای کد دلخواه در TPM شود.
- CVE-2023-23404: آخرین آسیبپذیری «بحرانی» ترمیم شده در ماه مارس 2023 بر Windows Point-to-Point Tunneling Protocol تاثیر میگذارد و از نوع «اجرای کد از راه دور» است.از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن میباشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده میتواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیبپذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید.
در ادامه به بررسی جزئیات دیگر آسیبپذیریهای اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، میپردازیم:
- CVE-2023-22490 ،CVE-2023-22743 ،CVE-2023-23618 و CVE-2023-23946: مایکروسافت در ماه مارس 2023، این چهار ضعفامنیتی را که از GitHub سرچشمه میگیرد، ترمیم کرده است. این آسیبپذیریها دارای درجه اهمیت «زیاد» بوده و مربوط به سیستم کنترلی نسخه Git که در Visual Studio گنجانده شده، میباشند.
- CVE-2022-23825 ،CVE-2022-23816 ،CVE-2022-23257: مایکروسافت علاوه بر CVE-2022-43552، بهروزرسانیهایی را برای سه ضعف امنیتی قدیمیتر – که همگی مربوط به سال 2022 میباشند – را در مارس 2023 ارائه کرده است.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای مارس 2023 مایکروسافت در گزارش زیر قابل مطالعه است:
https://newsroom.shabakeh.net/27725/
سـیـسـکو
شرکت سیسکو (Cisco Systems) در اسفند ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، 22 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 5 مورد از آنها از نوع «بحرانی»، 3 مورد از آنها از نوع «بالا» (High) و 14 مورد از نوع «میانه» (Medium) گزارش شده است. آسیبپذیریهایی همچون «تزریق کد از طریق سایت» (Cross site Scripting)، «منع سرویس»، «تزریق فرمان» (Command Injection)، «افزایش سطح دسترسی»، «سرریز بافر» (Buffer Overflow) و «افشای اطلاعات» از جمله مهمترین اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
سوفــوس
در ماهی که گذشت شرکت سوفوس (Sophos)، سه آسیبپذیری امنیتی را در نسخه جدید v2.2 MR1 نرمافزار Sophos Connect VPN برطرف کرده است. شدت دو مورد از این آسیبپذیریها (CVE-2022-48309 و CVE-2022-48310) «میانه» (Medium) و یک مورد از آنها (CVE-2022-4901)، «کم» (Low) گزارش شده است. توصیه میشود در اولین فرصت ممکن، نسبت به بهروزرسانی به این نسخه اقدام شود. اگر از نرمافزار Sophos Connect برای ارتباطات VPN از نوع IPSec یا SSL استفاده میکنید، میتوانید با دنبال کردن مراحل زیر، این نرمافزار را بهروز کنید.
- وارد نشانیhttps://www.sophos.com/en-us/support/downloads/utm-downloads شوید.
- به قسمت “Sophos Connect (IPSec and SSLVPN Client)” در صفحه دانلود رجوع کنید.
- فایل نصب نسخه 2.2.90 برنامه Sophos Connect را دانلود کنید.
- این برنامه جدید را روی رایانه هر کاربری که از Sophos Connect استفاده میکند، نصب کنید.
جزییات آسیبپذیریهای ترمیمشده در این نسخه، در لینک زیر قابل دریافت و مطالعه است:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20230301-scc-csrf
فـورتـینـت
در ماهی که گذشت شرکت فورتینت (Fortinet) با انتشار چندین توصیهنامه از ترمیم 15 ضعف امنیتی در محصولات این شرکت خبر داد. درجه اهمیت یک مورد از آنها «بحرانی»، 5 مورد از آنها از نوع «بالا»، 8 مورد از نوع «میانه» و یک مورد از نوع «کم» گزارش شده است.
لازم به ذکر است مهاجمان در هفتههای اخیر از یکی از این ضعفهای امنیتی در FortiOS سوءاستفاده نموده و با اجرای حملاتی منجر به خرابی سیستمعامل، فایلها و نشت اطلاعات شدهاند. این ضعف امنیتی که شرکت فورتینت در تاریخ 16 اسفند ماه وصله آن را منتشر کرد، دارای شناسه CVE-2022-41328 میباشد و مهاجمان را قادر به اجرای کدها و فرامین غیرمجاز مینماید.
آسیبپذیری مذکور محصولات زیر را تحت تاثیر قرارمیدهد:
- FortiOS version 7.2.0 through 7.2.3
- FortiOS version 7.0.0 through 7.0.9
- FortiOS version 6.4.0 through 6.4.11
- FortiOS 6.2 all versions
- FortiOS 6.0 all versions
به تمامی راهبران توصیه میشود در اسرع وقت با مراجعه به توصیهنامه امنیتی این شرکت نسبت به بهروزرسانی محصولات متأثر از این آسیبپذیری اقدام نموده و آنها را به نسخ زیر ارتقا دهند:
- FortiOS version 7.2.4 or above
- FortiOS version 7.0.10 or above
- FortiOS version 6.4.12 or above
با وجود این که در توصیهنامه امنیتی اشاره نشده که این ضعف امنیتی قبل از انتشار وصلهها مورد سوءاستفاده قرار گرفته اما فورتینت در یکی از گزارشهای اخیر خود اعلام نموده که مهاجمان با سوءاستفاده از CVE-2022-41328 اقدام به هک چندین دستگاه فایروال FortiGate متعلق به یکی از مشتریان این شرکت نمودهاند. این حملات پس از آن شناسایی شدند که پس از نمایش پیام خطای زیر، دستگاههای Fortigate دچار اختلال شدند و از کار افتادند:
“System enters error-mode due to FIPS error: Firmware Integrity self-test failed”
بررسی و تحلیل محققان شرکت فورتینت حاکی از آن است که حملات کاملاً هدفمند بوده و برخی شواهد نشان میدهد که این مهاجمان به دنبال سرقت اطلاعات در شبکه سازمانهای قربانی میباشند. مهاجمان در جریان این حمله از قابلیتهای پیشرفته نظیر مهندسی معکوس در سیستمعامل تجهیزات FortiGate استفاده کردهاند. جزئیات کامل این حمله به همراه فهرست نشانههای آلودگی (IoC) در لینک زیر قابل دریافت میباشد:
https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis
جزییات بیشتر در خصوص تمامی ضعفهای امنیتی ترمیم شده محصولات فورتینت در ماهی که گذشت در نشانی زیر قابل مطالعه است:
https://www.fortiguard.com/psirt
اپــل
در اسفند ماه، شرکت اپل (Apple) با انتشار بهروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
گـوگـل
شرکت گوگل (Google) در اسفند ماه در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 16 اسفند ماه انتشار یافت، نسخه 65.ا/111.0.5563.64 برای Windows و 111.0.5563.64 برای Linux و Mac است. فهرست اشکالات مرتفع شده در نشانیهای زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop.html
https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_22.html
ویامور
شرکت ویامور (VMware) در ماهی که گذشت با انتشار توصیهنامههای امنیتی نسبت به ترمیم سه ضعف امنیتی و بهروزرسانی دو وصله پیشین در محصولات زیر اقدام کرد:
- VMware vRealize Orchestrator
- VMware vRealize Automation
- VMware Workspace ONE Content
- VMware Cloud Foundation (Cloud Foundation)
- VMware Carbon Black App Control (App Control)
توصیه اکید میشود با مراجعه به نشانیهای زیر در اسرع وقت بهروزرسانیهای ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
https://www.vmware.com/security/advisories/VMSA-2023-0004.html
https://www.vmware.com/security/advisories/VMSA-2023-0005.html
https://www.vmware.com/security/advisories/VMSA-2023-0006.html
مـوزیـلا
در اسفند ماه، شرکت موزیلا (Mozilla) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیهها، در مجموع 14 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت هشت مورد از آنها «بالا» و شش مورد «میانه» گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
ادوبـی
شرکت ادوبی (Adobe) مجموعه اصلاحیههای امنیتی مارس 2023 را منتشر کرد. اصلاحیههای مذکور، در مجموع 101 آسیبپذیری را در 8 محصول زیر ترمیم میکنند. 60 مورد از این ضعفهای امنیتی دارای درجه اهمیت «بحرانی» میباشند.
- Adobe Commerce
- Adobe Experience Manager
- Adobe Illustrator
- Adobe Dimension
- Adobe Creative Cloud
- Adobe Substance 3D Stager
- Adobe Photoshop
- Adobe ColdFusion
اگر چه تاکنون موردی مبنی بر سوءاستفاده از آسیبپذیریهای ترمیم شده تا تاریخ 23 اسفند 1401 گزارش نشده، ادوبی به مشتریان خود توصیه میکند که در اسرع وقت اقدام به نصب بهروزرسانیها کنند. اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه مارس 2023 در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
دروپـال
در اسفند 1401، جامعه دروپال (Drupal Community) با عرضه بهروزرسانیهای امنیتی، چندین ضعف امنیتی با درجه اهمیت «نسبتاً بحرانی» (Moderately Critical) را در نسخ مختلف دروپال ترمیم نمود. توضیحات کامل در خصوص این بهروزرسانیها و توصیهنامههای منتشر شده، در نشانی زیر در دسترس میباشد:
https://www.drupal.org/security
آسـیبپذیـریهـای در حـال سوءاستفــاده
در اسفند 1401، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به «فهرست آسیبپذیریهای در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-2022-40765 (MiVoice Connect):
https://nvd.nist.gov/vuln/detail/CVE-2022-40765
CVE-2022-41223 (MiVoice Connect):
https://nvd.nist.gov/vuln/detail/CVE-2022-41223
CVE-2022-47986 (Aspera Faspex):
https://nvd.nist.gov/vuln/detail/CVE-2022-47986
CVE-2022-36537 (AuUploader):
https://nvd.nist.gov/vuln/detail/CVE-2022-36537
CVE-2022-35914 (GLPI):
https://nvd.nist.gov/vuln/detail/CVE-2022-35914
CVE-2022-33891 (Spark):
https://nvd.nist.gov/vuln/detail/CVE-2022-33891
CVE-2022-28810 (ManageEngine):
https://nvd.nist.gov/vuln/detail/CVE-2022-28810
CVE-2020-5741 (Media Server):
https://nvd.nist.gov/vuln/detail/CVE-2020-5741
CVE-2021-39144 (XStream):
https://nvd.nist.gov/vuln/detail/CVE-2021-39144
CVE-2022-41328 (FortiOS):
https://nvd.nist.gov/vuln/detail/CVE-2022-41328
CVE-2023-24880 (Windows):
https://nvd.nist.gov/vuln/detail/CVE-2023-24880
CVE-2023-23397 (Office):
https://nvd.nist.gov/vuln/detail/CVE-2023-23397
CVE-2023-26360 (ColdFusion):
https://nvd.nist.gov/vuln/detail/CVE-2023-26360
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.