اصلاحیههای امنیتی در اولین ماه از سال 1402
در فروردین 1402 شرکتهای زیر اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهمیتترین اصلاحیههای مذکور پرداخته شده است.
مایـکـروسـافت
در ماهی که گذشت، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی آوریل منتشر کرد. اصلاحیههای مذکور حدود 100 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 7 مورد از آسیبپذیریهای ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «افزایش سطح دسترسی» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «منع سرویس» (Denial of Service – به اختصار DoS)
- «دور زدن مکانیزمهای امنیتی» (Security Feature Bypass)
- «جعل» (Spoofing)
یک مورد از آسیبپذیریهای ترمیم شده این ماه (با شناسههای CVE-2023-28252)، از نوع «روز-صفر» میباشند که به طور گسترده در حملات مورد سوءاستفاده قرار گرفته است. این آسیبپذیری روز-صفر دارای درجه اهمیت «زیاد» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Windows Common Log System File Driver – به اختصار Windows CLFS – تاثیر میگذارد. مهاجمی که موفق به سوءاستفاده از این آسیبپذیری میشود، میتواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. این ضعف امنیتی توسط شرکت کسپرسکی (Kaspersky) در حملات باجافزار Nokoyawa شناسایی و به مایکروسافت گزارش شد. جزئیات سوءاستفاده از این آسیبپذیری در حملات باجافزار Nokoyawa در نشانی زیر قابل مطالعه میباشد:
https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
7 مورد از آسیبپذیریهای ترمیم شده ماه آوریل 2023 نیز دارای درجه اهمیت «بحرانی» میباشند؛ تمامی آسیبپذیریهای «بحرانی» ترمیم شده در این ماه از نوع «اجرای کد از راه دور» میباشند که در ادامه به جزئیات برخی از آنها پرداخته شده است:
- CVE-2023-21554: این ضعف امنیتی سازوکار Queuing را درMicrosoft Message تحت تاثیر قرار میدهد. مایکروسافت احتمال سوءاستفاده از این آسیبپذیری را «زیاد» اعلام نموده است. برای سوءاستفاده از این آسیب پذیری، مهاجم باید Packet دستکاری شده MSMQ را به سرور MSMQ ارسال کند که منجر به اجرای کد مخرب از راه دور در سمت سرور میشود. کاربرانی که میخواهند بررسی کنند که آیا هدف سوءاستفاده از این آسیبپذیری قرار گرفتهاند، میتوانند ببینید آیا سرویس Message Queuing در سیستم آنها فعال است و یا آیا ترافیک شبکه از طریق پورت TCP 1801 در حال شنود میباشد.
- CVE-2023-28219 و CVE-2023-28220: این دو مورد از آسیبپذیریهای «بحرانی» ترمیم شده در ماه آوریل 2023 بر Windows Layer 2 Tunneling Protocol تاثیر میگذارد. سوءاستفاده از این دو آسیبپذیری نیازی به تعامل کاربر ندارند؛ از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن میباشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده میتواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور RAS آسیبپذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید. با توجه به توضیحات شرکت مایکروسافت، لازم است که راهبران توجه ویژهای به وصله فوری این آسیبپذیریها نمایند.
- CVE-2023-28231: این آسیبپذیری بر روی سرویس DHCP تاثیر میگذارد. مایکروسافت احتمال سوءاستفاده از این ضعفامنیتی «بحرانی» را «زیاد» اعلام نموده است. یک مهاجم احراز هویت شده میتواند با فراخوانی یک RPC دستکاری شده در سرویس DHCP از این آسیبپذیری سوءاستفاده کند. سوءاستفاده موفق از این ضعف امنیتی مستلزم آن است که مهاجم قبل از اجرای حمله ابتدا به شبکه دسترسی پیدا کند.
- CVE-2023-28250: این آسیبپذیری بر Windows Pragmatic General Multicast – به اختصار PGM – تاثیر میگذارد. بکارگیری یک فایل دستکاری شده از طریق شبکه از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیبپذیری و اجرای کد مخرب از راه دور محسوب میشود. البته سرویس MSMQ باید فعال باشد. کاربرانی که میخواهند بررسی کنند که آیا هدف سوءاستفاده از این آسیبپذیری قرار گرفتهاند، میتوانند ببینید آیا سرویس Message Queuing در سیستم آنها فعال است و یا آیا ترافیک شبکه از طریق پورت TCP 1801 در حال شنود میباشد.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای آوریل 2023 مایکروسافت در گزارش زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2415
سـیـسـکو
شرکت سیسکو (Cisco Systems) در فروردین ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، بیش از 50 آسیبپذیری را که درجه اهیمت برخی از آنها «بحرانی» و «بالا» (High) گزارش شده در محصولات مختلف این شرکت ترمیم میکنند. آسیبپذیریهایی همچون «منع سرویس»، «اجرای کد از راه دور»، «تزریق فرمان» (Command Injection)، «تزریق کد از طریق سایت» (Cross Site Scripting)، «افزایش سطح دسترسی» و «افشای اطلاعات» از جمله مهمترین اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
تـرلـیـکـس
در ماهی که گذشت شرکت ترلیکس (Trellix)، نسخه 5.7.9 نرمافزار Agent را منتشر کرد. در این نسخه، باگهای شناختهشده Trellix Agent برطرف و اصلاح شده که جزییات آنها در لینک زیر قابل مطالعه است:
لازم به ذکر است در نسخه 5.7.9، دو آسیبپذیری به شناسههای CVE-2023-0975 و CVE-2023-0977 ترمیم شده که توضیحات بیشتر در خصوص آنها در لینک زیر قابل دریافت است:
https://kcm.trellix.com/corporate/index?page=content&id=SB10396
همچنین در فرودرین، ترلیکس، اقدام به انتشار نسخه جدید برای محصول Threat Intelligence Exchange کرد. TIE، بخشی از اکوسیستم EDR راهکارهای امنیتی ترلیکس است که وظیفه آن تبادل اطلاعات درباره تهدیدات و فراهم نمودن دیدی گسترده و کنترلی جامع در خصوص فایلهای اجرا شده بر روی نقاط پایانی سازمان است. در نسخه جدید، علاوه بر برطرف شدن چند اشکال و باگ، بهبودهایی از جمله پشتیبانی از SNMP و پیکربندی آن در درون TIE لحاظ شده است. OpenSSL مورد استفاده در Trellix TIE نیز ارتقا یافته است.
ضمن آن که در این نسخه، یک آسیبپذیری با شناسه CVE-2023-22809 ترمیم شده است. CVE-2023-22809 ضعفی با شدت «زیاد» در sudo است که توزیعهای Linux و ثابتافزارهای مبتنی بر این سیستم عامل از آن متأثر میشوند.
جزییات بیشتر در خصوص نسخه جدید Trellix TIE از طریق لینک زیر قابل دریافت و مطالعه است:
سـوفــوس
در ماهی که گذشت شرکت سوفوس (Sophos) با انتشار نسخه 4.3.10.4 اقدام به ترمیم سه آسیبپذیری در Sophos Web Appliance کرد. درجه اهمیت یکی از این آسیبپذیریها با شناسه CVE-2023-1671 «بحرانی» گزارش شده است. توضیحات بیشتر در لینک زیر:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20230404-swa-rce
فـورتـینـت
در ماهی که گذشت شرکت فورتینت (Fortinet) با انتشار چندین توصیهنامه از ترمیم بیش از 20 ضعف امنیتی در محصولات این شرکت خبر داد. جزییات بیشتر در خصوص ضعفهای امنیتی مذکور در لینک زیر قابل مطالعه است:
https://www.fortiguard.com/psirt
ویامور
31 فروردین، شرکت ویامور (VMware) از ترمیم دو آسیبپذیری «بحرانی» در VMware Aria Operations for Logs (یا vRealize Log Insight سابق) خبر داد. توصیهنامه ویامور در لینک زیر قابل دریافت است:
https://www.vmware.com/security/advisories/VMSA-2023-0007.html
ادوبــی
شرکت ادوبی (Adobe) مجموعه اصلاحیههای امنیتی آوریل 2023 را منتشر کرد. اصلاحیههای مذکور، در مجموع 56 آسیبپذیری را در 6 محصول زیر ترمیم میکنند که 49 مورد از آنها دارای درجه اهمیت «بحرانی» میباشند:
- Adobe Digital Editions
- Adobe InCopy
- Adobe Acrobat and Reader
- Adobe Substance 3D Stager
- Adobe Dimension
- Adobe Substance 3D Designer
تعداد آسیبپذیری ترمیم شده این ماه ادوبی برای Adobe Acrobat and Reader برابر با 16 مورد بوده است. اهمیت 14 مورد از ضعفهای امنیتی مذکور «بحرانی» و 2 مورد «زیاد» اعلام شده است. آسیبپذیریهای «بحرانی» مذکور میتوانند منجر به «اجرای کد» (Arbitrary code execution) و «دور زدن مکانیزمهای امنیتی» (Security feature bypass) شوند. در حالی که سوءاستفاده از ضعفهای امنیتی «زیاد» ترمیم شده در Adobe Acrobat and Reader میتوانند منجر به «نشت حافظه» (Memory Leak) و «افزایش سطح دسترسی» (Privilege Escalation) شوند.
با نصب بهروزرسانی ماه آوریل 2023، نسخه نگارشهای جاری نرمافزارهای Acrobat DC و Acrobat Reader DC به 23.001.20143، نگارشهای ۲۰۲۰ به 20.005.30467 تغییر خواهد کرد.
اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه آوریل 2023 ادوبی در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
اپــل
در فروردین ماه، شرکت اپل (Apple) با انتشار بهروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. جزییات بهروزرسانیهای ارائهشده از سوی اپل در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
مـوزیـلا
در فروردین ماه، شرکت موزیلا (Mozilla) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیهها، بیش از 20 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت حدود از نیمی از این آسیبپذیریها، «بالا» گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
گـوگـل
شرکت گوگل (Google) در فروردین ماه در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 29 فروردین انتشار یافت، نسخه 112.0.5615.138 است. دو مورد از آسیبپذیریهای وصله شده توسط گوگل، ضعفهایی با شناسه CVE-2023-2033 و CVE-2023-2136 هستند که به گفته این شرکت، از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفتهاند.
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
دروپـال
در فروردین 1402، جامعه دروپال (Drupal Community) با عرضه بهروزرسانیهای امنیتی، چند آسیبپذیری را در Drupal ترمیم کرد. توضیحات کامل در خصوص این بهروزرسانیها و توصیهنامههای منتشر شده در نشانی زیر در دسترس میباشد:
https://www.drupal.org/security
اپناساسال
در فروردین 1402، بنیاد نرمافزاری اپن-اساسال (OpenSSL Software Foundation) با عرضه بهروزرسانیهای امنیتی، ضعفهای امنیتی متعددی را در نسخههای 3.0، 3/1، 1.1.1 و 1.0.2 نرمافزار OpenSSL ترمیم نموده است. سوءاستفاده از بعضی از این آسیبپذیریها مهاجم را قادر به اجرای حملاتی نظیر «منع سرویس» میکند. توضیحات کامل در این خصوص در نشانی زیر قابل دسترس است:
https://www.openssl.org/news/newslog.html
لازم به ذکر است این بنیاد، 20 شهریور 1402 را تاریخ از رده خارج شدن (End of Life) نسخه 1.1.1 پلتفرم OpenSSL اعلام کرده است.
https://www.openssl.org/blog/blog/2023/03/28/1.1.1-EOL/
جـونـیـپـر نـتورکـز
جونیپر نتورکز (Juniper Networks) هم در فروردین ماه با ارائه بهروزرسانی چندین ضعف امنیتی را در محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعفهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
اوراکـل
در روزهای پایانی فروردین، شرکت اوراکل (Oracle) مطابق با برنامه زمانبندی شده سهماهه خود، با انتشار مجموعه بهروزرسانیهای موسوم به Critical Patch Update اقدام به ترمیم بیش از 400 آسیبپذیری امنیتی در دهها محصول ساخت این شرکت کرد. سوءاستفاده از برخی از آسیبپذیریهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات کامل در خصوص آنها در نشانی زیر قابل دریافت است:
https://www.oracle.com/security-alerts/cpuapr2023.html
سـامـبـا
گروه سامبا (Samba Team) با عرضه بهروزرسانی، سه ضعف امنیتی با شناسههای CVE-2023-0225 ،CVE-2023-0922 و CVE-2023-0614 را در نسخ مختلف نرمافزار کدباز Samba برطرف کرد. سوءاستفاده از این ضعف ترمیم شده در اختیار گرفتن کنترل سیستم آسیبپذیر را برای مهاجم فراهم میکند. فهرست آسیبپذیریهای رفع شده در نشانیهای زیر قابل مطالعه میباشد:
https://www.samba.org/samba/security/CVE-2023-0225.html
https://www.samba.org/samba/security/CVE-2023-0922.html
https://www.samba.org/samba/security/CVE-2023-0614.html
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در فروردین 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به «فهرست آسیبپذیریهای در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-2019-8526 (Apple):
https://support.apple.com/en-us/HT209600
CVE-2023-2033 (Google):
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
CVE-2023-20963 (Android):
https://source.android.com/docs/security/bulletin/2023-03-01
CVE-2023-29492 (Novi Survey):
https://novisurvey.net/blog/novi-survey-security-advisory-apr-2023.aspx
CVE-2023-28252 (Microsoft):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-28252
CVE-2023-28205 (Apple):
https://support.apple.com/en-us/HT213720
https://support.apple.com/en-us/HT213721
https://support.apple.com/en-us/HT213722
https://support.apple.com/en-us/HT213723
CVE-2023-28206 (Apple):
https://support.apple.com/en-us/HT213720
https://support.apple.com/en-us/HT213721
CVE-2021-27876 (Veritas):
https://www.veritas.com/support/en_US/security/VTS21-001
CVE-2021-27877 (Veritas):
https://www.veritas.com/support/en_US/security/VTS21-001
CVE-2021-27878 (Veritas):
https://www.veritas.com/support/en_US/security/VTS21-001
CVE-2019-1388 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1388
CVE-2023-26083 (Arm):
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
CVE-2022-27926 (Zimbra):
https://wiki.zimbra.com/wiki/Security_Center
CVE-2013-3163 (Microsoft):
https://learn.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-055
CVE-2017-7494 (Samba):
https://www.samba.org/samba/security/CVE-2017-7494.html
CVE-2022-42948 (Fortra):
https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-2/
CVE-2022-39197 (Fortra):
https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/
CVE-2021-30900 (Apple):
https://support.apple.com/en-us/HT21286
https://support.apple.com/en-us/HT212868
https://support.apple.com/kb/HT212872
CVE-2022-38181 (Arm):
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
CVE-2023-0266 (Linux):
https://git.kernel.org/pub/scm/linux/kernel/git/stable/stable-queue.git/tree/queue-5.10/alsa-pcm-move-rwsem-lock-inside-snd_ctl_elem_read-to-prevent-uaf.patch?id=72783cf35e6c55bca84c4bb7b776c58152856fd4
CVE-2022-3038 (Google):
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_30.html
CVE-2022-22706 (Arm):
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.
