به‌روزرسانی‌ها و اصلاحیه‌های آخرین ماه از سال 1401

در اسفند 1401 شرکت‌های زیر اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

مایکـروسافت

23 اسفند 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد. اصلاحیه‌های مذکور 80 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 9 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

• «افزایش سطح دسترسی» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «منع سرویس» (Denial of Service – به اختصار DoS)
• «دور زدن مکانیزم‌های امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

دو مورد از آسیب‌پذیری‌های ترمیم شده این ماه (با شناسه‌های CVE-2023-23397 و CVE-2023-24880)، از نوع «روز-صفر» می‌باشند که اگرچه تنها یک مورد (CVE-2023-24880) به طور عمومی افشاء شده‌ ولی هر دو مورد آن به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند.

لازم به ذکر است که PoC یکی از ضعف‌های امنیتی (CVE-2022-43552) که پیشتر وصله آن ارائه شده بود نیز منتشر شده است؛ این آسیب‌پذیری که Open Source Curl موجود در چندین محصول مایکروسافت نظیر Windows Server ،Windows Desktop و CBL-Mariner 2.0 – یکی از نسخ سیستم‌عامل Linux که مایکروسافت برای بسترهای ابری آن را توسعه داده – از آن تاثیر می‌پذیرد، در ماه مارس 2023 مجدد به‌روزرسانی شده است. Open Source Curl یکی از ابزارهای خط فرمان (Command Line) است که برای ارسال داده با پروتکل‌های مختلف شبکه مورد استفاده قرار می‌گیرد.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز-صفر که در ماه میلادی مارس 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم:

• CVE-2023-23397: این آسیب‌پذیری روز-صفر دارای درجه اهمیت «بحرانی» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Microsoft Outlook تاثیر می‌گذارد. مهاجم می‌تواند با ارسال یک ایمیل دستکاری شده از این آسیب‌پذیری سوءاستفاده نموده و منجر به اتصال قربانی به یک UNC خارجی تحت کنترل مهاجم شود. در این صورت مهاجم قادر به دستیابی به هش Net-NTLMv2 حساب Windows قربانی بوده و می‌تواند این را به سرویس دیگری منتقل کند و از این طریق احراز هویت شود. مایکروسافت هشدار داده که این ضعف امنیتی به‌طور خودکار هنگام بازیابی و پردازش توسط سرور ایمیل (Email Server)، قبل از خواندن ایمیل در صفحه پیش‌نمایش (Preview Pane) فعال می‌شود.
• CVE-2023-24880: این آسیب‌پذیری ترمیم شده، دارای درجه اهمیت «میانه» (Moderate) بوده و Windows SmartScreen از آن متاثر می‌شود. مهاجم می‌تواند با ایجاد فایلی مخرب، راهکار دفاعی Windows به نام  Mark of the Web- به اختصار  MotW  – را دور زده و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگی‌های امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، ‌شود. در صورت سوءاستفاده موفق از این ضعف امنیتی، مهاجم قادر خواهد بود فایل مخرب را بدون ایجاد هشدار امنیتی MotW اجرا نماید. مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی جهت توزیع و اجرای بدافزارها سوءاستفاده می‌کنند.

علاوه بر ضعف امنیتی روز-صفر CVE-2023-23397 که دارای درجه اهمیت «بحرانی» می‌باشد، 8 مورد از دیگر آسیب‌پذیری‌های ترمیم شده ماه مارس 2023 دارای درجه اهمیت «بحرانی» می‌باشند که در ادامه به جزئیات برخی از آنها می‌پردازیم:

• CVE-2023-23411: این ضعف امنیتی «بحرانی» ترمیم شده، از نوع «منع سرویس» می‌باشد و Windows Hyper-V را تحت تاثیر قرار می‌دهد. سوءاستفاده از این آسیب‌پذیری به تعامل کاربر نیازی ندارد و پس از سوءاستفاده موفق، مهاجم سرور Hyper-V را در اختیار دارد.
• CVE-2023-23392: این آسیب‌پذیری بر HTTP Protocol Stack تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» می‌باشد. مایکروسافت احتمال داده که این ضعف امنیتی «بحرانی» تا 30 روز پس از انتشار وصله، مورد سوءاستفاده قرار بگیرد. ضعف امنیتی مذکور از راه دور قابل سوءاستفاده بوده و نیازی به تعامل کاربر یا در اختیار داشتن امتیازات سیستم ندارد. مهاجم با ارسال یک بسته مخرب دستکاری شده به سرور هدف که ازsys (HTTP Protocol Stack) برای پردازش بسته‌ها استفاده می‌کند، از این ضعف سوءاستفاده می‌نماید. جالب اینجاست که این ضعف امنیتی فقط آخرین نسخه‌های سیستم‌عامل Windows (Windows 11 و Windows Server 2022) را تحت تاثیر قرار می‌دهد.
• CVE-2023-23416: این آسیب‌پذیری بر Windows Cryptographic Services – مجموعه‌ای از ابزارهای رمزنگاری در Windows – تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» می‌باشد. بکارگیری یک گواهینامه مخرب توسط مهاجم احراز هویت شده و یا متقاعد نمودن قربانی به باز نمودن یک گواهینامه دستکاری شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری محسوب می‌شود. مایکروسافت احتمال سوءاستفاده موفق از این نقص امنیتی را بالا ارزیابی کرده است.
• CVE-2023-23415: این آسیب‌پذیری از نوع «اجرای کد از راه دور» بوده و بر Internet Control Message Protocol – به اختصار ICMP – تاثیر می‌گذارد. این آسیب‌پذیری مربوط به نحوه مدیریت بسته‌های ICMP توسط سیستم‌عامل است؛ زمانی که یک برنامه در حال اجرا بر روی سرور آسیب‌پذیر Windows به یک سوکت خام متصل می‌شود. مهاجم با ارسال یک بسته IP مخرب و تکه تکه شده به یک هدف آسیب‌پذیر قادر به اجرای کد دلخواه می‌باشد. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را بالا اعلام نموده است. سوءاستفاده از این آسیب‌پذیری که به یک پروتکل گزارش خطا مربوط می‌شود، نیازی به دسترسی به امتیازات سیستم یا تعامل کاربر ندارد.
• CVE-2023-21708: این ضعف‌امنیتی از نوع «اجرای کد از راه دور» بوده و Remote Procedure Call Runtime از آن تاثیر می‌پذیرد. یک مهاجم احراز هویت نشده با فراخوانی RPC دستکاری شده در سرور RPC قادر به سوءاستفاده از این آسیب‌پذیری می‌باشد. این می‌تواند منجر به اجرای کد از راه دور در سمت سرور با همان مجوزهای سرویس RPC شود. مسدودسازی پورت TCP 135 در فایروال سازمان بهترین راهکار توصیه شده است که می‌تواند احتمال برخی از حملات احتمالی علیه این آسیب‌پذیری را کاهش دهد.
• CVE-2023-1017 و CVE-2023-1018: این دو آسیب‌پذیری «بحرانی» ترمیم شده، Trusted Platform Module (TPM) Module Library را تحت تاثیر قرار می‌دهند. این CVE مربوط به یک آسیب‌پذیری در یک درایور ثالث است. مهاجم با اجرای فرامین مخرب TPM از یک VM Guest بر روی سرور مورد نظری که Hyper-V را اجرا می‌کند، قادر به نوشتن خارج از محدوده در پارتیشن ریشه (Root) می‌شود. مهاجم با سوءاستفاده از این ضعف امنیتی قادر است تا 2 بایت داده را در انتهای فرمان TPM2.0در روتین CryptParameterDecryption بنویسید. سوءاستفاده موفق از این آسیب‌پذیری می‌تواند منجر به منع سرویس (از کار انداختن تراشه/پروسه TPM یا غیرقابل استفاده شدن آن) و/یا اجرای کد دلخواه در TPM شود.
• CVE-2023-23404: آخرین آسیب‌پذیری «بحرانی» ترمیم شده در ماه مارس 2023 بر Windows Point-to-Point Tunneling Protocol تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» است.از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition)  قادر به سوءاستفاده از آن می‌باشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده می‌تواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیب‌پذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید.

در ادامه به بررسی جزئیات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم:

• CVE-2023-22490 ،CVE-2023-22743 ،CVE-2023-23618 و CVE-2023-23946: مایکروسافت در ماه مارس 2023، این چهار ضعف‌امنیتی  را که از GitHub سرچشمه می‌گیرد، ترمیم کرده است. این آسیب‌پذیری‌ها دارای درجه اهمیت «زیاد» بوده و مربوط به سیستم کنترلی نسخه Git که در Visual Studio گنجانده شده، می‌باشند.
• CVE-2022-23825 ،CVE-2022-23816 ،CVE-2022-23257: مایکروسافت علاوه بر CVE-2022-43552، به‌روزرسانی‌هایی را برای سه ضعف امنیتی قدیمی‌تر – که همگی مربوط به سال 2022 می‌باشند – را در مارس 2023 ارائه کرده است.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌ اصلاحیه‌های مارس 2023 مایکروسافت در گزارش زیر قابل مطالعه است:

https://newsroom.shabakeh.net/27725/

سـیـسـکو

شرکت سیسکو (Cisco Systems) در اسفند ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این به‌روز‌رسانی‌ها، 22 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 5 مورد از آنها از نوع «بحرانی»، 3 مورد از آنها از نوع «بالا» (High) و 14 مورد از نوع «میانه» (Medium) گزارش شده است. آسیب‌پذیری‌هایی همچون «تزریق کد از طریق سایت» (Cross site Scripting)، «منع سرویس»، «تزریق فرمان» (Command Injection)، «افزایش سطح دسترسی»، «سرریز بافر» (Buffer Overflow) و «افشای اطلاعات» از جمله مهمترین اشکالات مرتفع شده توسط به‌روزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

سوفــوس

در ماهی که گذشت شرکت سوفوس (Sophos)، سه آسیب‌پذیری امنیتی را در نسخه جدید v2.2 MR1 نرم‌افزار Sophos Connect VPN برطرف کرده است. شدت دو مورد از این آسیب‌پذیری‌ها (CVE-2022-48309 و CVE-2022-48310) «میانه» (Medium) و یک مورد از آنها (CVE-2022-4901)، «کم» (Low) گزارش شده است. توصیه می‌شود در اولین فرصت ممکن، نسبت به به‌روزرسانی به این نسخه اقدام شود. اگر از نرم‌افزار Sophos Connect برای ارتباطات VPN از نوع IPSec یا SSL استفاده می‌کنید، می‌توانید با دنبال کردن مراحل زیر، این نرم‌افزار را به‌روز کنید.

• وارد نشانیhttps://www.sophos.com/en-us/support/downloads/utm-downloads شوید.
• به قسمت “Sophos Connect (IPSec and SSLVPN Client)” در صفحه دانلود رجوع کنید.
• فایل نصب نسخه 2.2.90 برنامه Sophos Connect را دانلود کنید.
• این برنامه جدید را روی رایانه هر کاربری که از Sophos Connect استفاده می‌کند، نصب کنید.

جزییات آسیب‌پذیری‌های ترمیم‌شده در این نسخه، در لینک زیر قابل دریافت و مطالعه است:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20230301-scc-csrf

فـورتـی‌نـت

در ماهی که گذشت شرکت فورتی‌نت (Fortinet) با انتشار چندین توصیه‌نامه‌‌ از ترمیم 15 ضعف امنیتی در محصولات این شرکت خبر داد. درجه اهمیت یک مورد از آنها «بحرانی»، 5 مورد از آنها از نوع «بالا»، 8 مورد از نوع «میانه» و یک مورد از نوع «کم» گزارش شده است.  

لازم به ذکر است مهاجمان در هفته‌های اخیر از یکی از این ضعف‌های امنیتی در FortiOS سوءاستفاده نموده و با اجرای حملاتی منجر به خرابی سیستم‌عامل، فایل‌ها و نشت اطلاعات شده‌اند. این ضعف امنیتی که شرکت فورتی‌نت در تاریخ 16 اسفند ماه وصله آن را منتشر کرد، دارای شناسه  CVE-2022-41328 می‌باشد و مهاجمان را قادر به اجرای کدها و فرامین غیرمجاز می‌نماید.

آسیب‌پذیری مذکور محصولات زیر را تحت تاثیر قرارمی‌دهد:

• FortiOS version 7.2.0 through 7.2.3
• FortiOS version 7.0.0 through 7.0.9
• FortiOS version 6.4.0 through 6.4.11
• FortiOS 6.2 all versions
• FortiOS 6.0 all versions

به تمامی راهبران توصیه می‌شود در اسرع وقت با مراجعه به توصیه‌نامه امنیتی این شرکت نسبت به به‌روزرسانی محصولات متأثر از این آسیب‌پذیری اقدام نموده و آنها را به نسخ زیر ارتقا دهند:

• FortiOS version 7.2.4 or above
• FortiOS version 7.0.10 or above
• FortiOS version 6.4.12 or above

با وجود این که در توصیه‌نامه امنیتی اشاره نشده که این ضعف امنیتی قبل از انتشار وصله‌ها مورد سوءاستفاده قرار گرفته اما فورتی‌نت در یکی از گزارش‌های اخیر خود اعلام نموده که مهاجمان با سوءاستفاده از CVE-2022-41328 اقدام به هک چندین دستگاه فایروال FortiGate متعلق به یکی از مشتریان این شرکت نموده‌اند. این حملات پس از آن شناسایی شدند که پس از نمایش پیام خطای زیر، دستگاه‌های Fortigate دچار اختلال شدند و از کار افتادند:

“System enters error-mode due to FIPS error: Firmware Integrity self-test failed”

بررسی و تحلیل محققان شرکت فورتی‌نت حاکی از آن است که حملات کاملاً هدفمند بوده و برخی شواهد نشان می‌دهد که این مهاجمان به دنبال سرقت اطلاعات در شبکه سازمان‌های قربانی می‌باشند. مهاجمان در جریان این حمله از قابلیت‌های پیشرفته نظیر مهندسی معکوس در سیستم‌عامل تجهیزات FortiGate استفاده کرده‌اند. جزئیات کامل این حمله به همراه فهرست نشانه‌های آلودگی (IoC) در لینک زیر قابل دریافت می‌باشد:

https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis

جزییات بیشتر در خصوص تمامی ضعف‌های امنیتی ترمیم شده محصولات فورتی‌نت در ماهی که گذشت در نشانی زیر قابل مطالعه است:

https://www.fortiguard.com/psirt

اپــل

در اسفند ماه، شرکت اپل (Apple) با انتشار به‌روزرسانی، ضعف‌های امنیتی متعددی را در چندین محصول خود ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://support.apple.com/en-us/HT201222

گـوگـل

شرکت گوگل (Google) در اسفند ماه در چندین نوبت اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 16 اسفند ماه انتشار یافت، نسخه 65.ا/111.0.5563.64 برای Windows و 111.0.5563.64 برای Linux و Mac است. فهرست اشکالات مرتفع شده در نشانی‌های زیر قابل دریافت و مشاهده است: 

https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_22.html

 وی‌ام‌ور

شرکت وی‌ام‌ور (VMware) در ماهی که گذشت با انتشار توصیه‌نامه‌های‌ امنیتی نسبت به ترمیم سه ضعف امنیتی و به‌روزرسانی دو وصله پیشین در محصولات زیر اقدام کرد:

• VMware vRealize Orchestrator
• VMware vRealize Automation
• VMware Workspace ONE Content
• VMware Cloud Foundation (Cloud Foundation)
• VMware Carbon Black App Control (App Control)

توصیه اکید می‌شود با مراجعه به نشانی‌های زیر در اسرع وقت به‌روزرسانی‌های‌ ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:

https://www.vmware.com/security/advisories/VMSA-2022-0027.html

https://www.vmware.com/security/advisories/VMSA-2023-0004.html

https://www.vmware.com/security/advisories/VMSA-2023-0005.html

https://www.vmware.com/security/advisories/VMSA-2023-0006.html

 مـوزیـلا

در اسفند ماه، شرکت موزیلا (Mozilla) با ارائه به‌روزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیه‌ها، در مجموع 14 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت هشت مورد از آنها «بالا» و شش مورد «میانه» گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

 ادوبـی

شرکت ادوبی (Adobe) مجموعه اصلاحیه‌های امنیتی مارس 2023 را منتشر کرد. اصلاحیه‌های مذکور، در مجموع 101 آسیب‌پذیری را در 8 محصول زیر ترمیم می‌کنند. 60 مورد از این ضعف‌های امنیتی دارای درجه اهمیت «بحرانی» می‌باشند.

• Adobe Commerce
• Adobe Experience Manager
• Adobe Illustrator
• Adobe Dimension
• Adobe Creative Cloud
• Adobe Substance 3D Stager
• Adobe Photoshop
• Adobe ColdFusion

اگر چه تاکنون موردی مبنی بر سوءاستفاده از آسیب‌پذیری‌های ترمیم شده تا تاریخ 23 اسفند 1401 گزارش نشده، ادوبی به مشتریان خود توصیه می‌کند که در اسرع وقت اقدام به نصب به‌روزرسانی‌ها کنند. اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه مارس 2023 در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

دروپـال

در اسفند 1401، جامعه دروپال (Drupal Community) با عرضه به‌روزرسانی‌‌های امنیتی، چندین ضعف‌ امنیتی با درجه اهمیت «نسبتاً بحرانی» (Moderately Critical) را در نسخ مختلف دروپال ترمیم نمود. توضیحات کامل در خصوص این به‌روزرسانی‌ها‌ و توصیه‌نامه‌های منتشر شده، در نشانی‌ زیر در دسترس می‌باشد:

https://www.drupal.org/security

 آسـیب‌پذیـری‌هـای در حـال سوءاستفــاده

در اسفند 1401، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به «فهرست آسیب‌پذیری‌های در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

CVE-2022-40765 (MiVoice Connect):

https://nvd.nist.gov/vuln/detail/CVE-2022-40765

CVE-2022-41223 (MiVoice Connect):

https://nvd.nist.gov/vuln/detail/CVE-2022-41223

CVE-2022-47986 (Aspera Faspex):

https://nvd.nist.gov/vuln/detail/CVE-2022-47986

CVE-2022-36537 (AuUploader):

https://nvd.nist.gov/vuln/detail/CVE-2022-36537

CVE-2022-35914 (GLPI):

https://nvd.nist.gov/vuln/detail/CVE-2022-35914

CVE-2022-33891 (Spark):

https://nvd.nist.gov/vuln/detail/CVE-2022-33891

CVE-2022-28810 (ManageEngine):

https://nvd.nist.gov/vuln/detail/CVE-2022-28810

CVE-2020-5741 (Media Server):

https://nvd.nist.gov/vuln/detail/CVE-2020-5741

CVE-2021-39144 (XStream):

https://nvd.nist.gov/vuln/detail/CVE-2021-39144

CVE-2022-41328 (FortiOS):

https://nvd.nist.gov/vuln/detail/CVE-2022-41328

CVE-2023-24880 (Windows):

https://nvd.nist.gov/vuln/detail/CVE-2023-24880

CVE-2023-23397 (Office):

https://nvd.nist.gov/vuln/detail/CVE-2023-23397

CVE-2023-26360 (ColdFusion):

https://nvd.nist.gov/vuln/detail/CVE-2023-26360

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.