در اردیبهشت 1402، شرکتهای مایکروسافت، سیسکو، ترلیکس، سوفوس، ویامور، فورتینت، ادوبی، اپل، موزیلا، گوگل، جونیپرنتورکز و جامعه دروپال اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
مایکروسافت
19 اردیبهشت، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی می 2023 منتشر کرد. اصلاحیههای مذکور حدود 40 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 6 مورد از آسیبپذیریهای ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «افزایش سطح دسترسی» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «منع سرویس» (Denial of Service – به اختصار DoS)
- «دور زدن مکانیزمهای امنیتی» (Security Feature Bypass)
- «جعل» (Spoofing)
سه مورد از آسیبپذیریهای ترمیم شده این ماه (با شناسههای CVE-2023-29336، CVE-2023-24932 و CVE-2023-29325)، از نوع «روز-صفر» میباشند که دو مورد آن (CVE-2023-29336 و CVE-2023-24932) به طور گسترده در حملات مورد سوءاستفاده قرار گرفتهاند.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز صفر که در ماه میلادی می 2023 توسط شرکت مایکروسافت ترمیم شدهاند، میپردازیم:
- CVE-2023-29336: این ضعف امنیتی که به طور گسترده مورد سوءاستفاده قرار گرفته، دارای درجه اهمیت «زیاد» بوده و از نوع «افزایش سطح دسترسی» است و بر Win32k تاثیر میگذارد. سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM مینماید.
- CVE-2023-24932: این آسیبپذیری روز صفر دارای درجه اهمیت «زیاد» و از نوع «دور زدن مکانیزمهای امنیتی» است. ضعف مذکور که جزییات آن به صورت عمومی افشا شده، Secure Boot را متأثر میکند. گفته میشود مهاجمان از آن در حملات خود جهت نصب BlackLotus UEFI bootkit سوءاستفاده نمودهاند.
بوتکیت UEFI (UEFI Bootkit) نوعی بدافزار است که با نصب بر روی میانافزار (Firmware) سیستم، از چشم محصولات امنیتی مخفی میماند. از مهر 1401، یک مهاجم اقدام به فروش و عرضه بوتکیت BlackLotus در کانالهای زیرزمینی هکری نموده و همچنان به توسعه و تکامل قابلیتهای آن ادامه میدهد. به عنوان مثال، در اسفند ماه، شرکت ایسِت (ESET) گزارش داد که نسخه توسعهیافته این بدافزار حتی در سیستمهای عامل Windows 11 که به طور کامل وصله شدهاند، نیز منجر به دور زدن Secure Boot میشود. توصیه میشود جهت کسب اطلاعات بیشتر در خصوص این آسیبپذیری و اعمال اقدامات کاهشی به نشانی زیر مراجعه نمائید:
https://support.microsoft.com/help/5025885
- CVE-2023-29325: این آسیبپذیری روز-صفر دارای درجه اهمیت «بحرانی» بوده و از نوع «اجرای کد از راه دور» است. این ضعفامنیتی بر Windows OLE تاثیر میگذارد. ارسال یک ایمیل دستکاری شده به قربانی و باز شدن آن در Outlook از جمله سناریوهای متصور برای سوءاستفاده از این آسیبپذیری است. مایکروسافت اعلام نموده که کاربران برای اعمال تنظیماتی در جهت کاهش شدت این آسیبپذیری به نشانی زیر مراجعه نمایند:
تمامی آسیبپذیریهای «بحرانی» ترمیم شده در این ماه از نوع «اجرای کد از راه دور» میباشند که در ادامه به جزئیات برخی از آنها میپردازیم:
- CVE-2023-24941: این ضعفامنیتی «بحرانی» ترمیم شده، Windows Network File System را تحت تاثیر قرار میدهد. اگرچه مایکروسافت از افشای عمومی یا احتمال سوءاستفاده از این ضعفامنیتی اظهار بیاطلاعی نموده، به نقل از این شرکت، این آسیبپذیری RCE، دارای پیچیدگی کم است و بر تجهیزات NFS نسخه 4.1 در سیستمهای Windows تأثیر میگذارد. مایکروسافت توصیه نموده جهت کاهش اثرات مخرب سوءاستفاده از این آسیبپذیری، قبل از اجرای وصله، NFS v4.1 را غیرفعال نمائید و پس از اعمال وصله مجدداً آن را فعال کنید، اگرچه این ممکن است بر کارایی آن تأثیر بگذارد. نسخههای قدیمیتر NFS (NFS v3 و NFS v2) تحت تأثیر این آسیبپذیری قرار نمیگیرند. مایکروسافت همچنین هشدار داده که تجهیزاتی که بیش از یک سال وصله نشدهاند در برابر CVE-2022-26937 که یک آسیبپذیری بحرانی در 0 و NFSV3.0 است، آسیبپذیر میباشند.
- CVE-2023-24943: این آسیبپذیریهای «بحرانی» ترمیم شده در ماه می 2023 بر Windows Pragmatic General Multicast -به اختصار PGM – تاثیر میگذارد. این ضعف امنیتی به خصوص در صورت فعال بودن سرویس موسوم به Message Queuing Service – به اختصار MSQS – میتواند بسیار خطرناک باشد. اگرچه MSQS به طور پیشفرض نصب نشده، برخی از نرمافزارها، از جمله برخی از نسخههای Microsoft Exchange Server، آن را در هنگام نصب خود فعال میکنند.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای می 2023 مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز راهبردی افتای ریاست جمهوری تهیه گردیده قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2473
سیسکو
شرکت سیسکو (Cisco Systems) در اردیبهشت ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، 27 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت سه مورد از آنها از نوع «بحرانی»، پنج مورد از آنها از نوع «بالا» (High) و 19 مورد از نوع «میانه» (Medium) گزارش شده است. آسیبپذیریهایی همچون «اجرای کد از راه دور»، «تزریق کد از طریق سایت» (Cross site Scripting)، «تزریق فرمان» (Command Injection) و «افشای اطلاعات» از جمله مهمترین اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
ترلیکس
در ماهی که گذشت شرکت ترلیکس (Trellix)، اقدام به انتشار نسخههای زیر کرد:
ePolicy Orchestrator 5.10 SP 1 Refresh
https://docs.trellix.com/bundle/trellix-epolicy-orchestrator-on-prem-5.10.0-release-notes/
Endpoint Security 10.7 April 2023 Update
https://docs.trellix.com/bundle/trellix-endpoint-security-10.7.x-release-notes/
Endpoint Security Storage Protection 2.4 Update
https://docs.trellix.com/bundle/trellix-endpoint-security-storage-protection-v2-4-x-release-notes/
DLP Endpoint 11.10 Update
https://docs.trellix.com/bundle/data-loss-prevention-endpoint-windows-11.10.x-release-notes/
File and Removable Media Protection 5.4.4
https://docs.trellix.com/bundle/trellix-file-and-removable-media-protection-5.4.x-release-notes/
سوفوس
شرکت سوفوس (Sophos) در اوایل اردیبهشت ماه، نسخه SG UTM 9.715 را منتشر کرد. در این نسخه، سوفوس ضمن اصلاح چند باگ، بهبودهایی را نیز در SG UTM لحاظ نموده است. جزئیات این بهینهسازیها در نشانیهای زیر قابل دریافت میباشد:
https://newsroom.shabakeh.net/28050/sophos-utm-9-715.html
https://docs.sophos.com/releasenotes/output/en-us/nsg/utm_97_rn.html
همچنین در اواخر اردیبهشت، این شرکت نسخه Sophos Firewall v19.5 MR2 را منتشر نمود. در Sophos Firewall v19.5 MR2 دو بهینهسازی مهم جهت افزایش امنیت و مقاومسازی صورت گرفته است. شرکت سوفوس به تمامی مشتریان توصیه میکند که فایروال خود را به آخرین نسخه ارتقاء دهند تا از ویژگیهای جدید ارائه شده در فایروال مذکور بهرهمند شوند.
بکارگیری Sophos Firewall v19.5 MR2 ضمن تضمین عملکرد بهینه فایروال به دلیل بهرهمندی از جدیدترین فناوریها و بهینهسازیهای امنیتی، به بهترین شکل از سازمان شما در برابر حملات سایبری محافظت میکند. دو بهینهسازی اعمال شده در Sophos Firewall v19.5 MR2 بر دسترسی Web Admin و پورتال کاربر در شبکه WAN به صورت زیر تأثیر میگذارد. جزئیات بیشتر در نشانیهای زیر قابل مطالعه میباشد:
https://news.sophos.com/en-us/2023/05/09/sophos-firewall-v19-5-mr2-is-now-available/
https://newsroom.shabakeh.net/28110/sophos-firewall-v19-5-mr2.html
ویامور
شرکت ویامور (VMware) در ماهی که گذشت با انتشار توصیهنامههای امنیتی نسبت به ترمیم چندین ضعف امنیتی در محصولات زیر اقدام کرد:
- VMware Aria Operations (vRealize Operations)
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion
جزئیات بیشتر آسیبپذیریهای ترمیم شده در نشانیهای زیر قابل مطالعه میباشد:
https://newsroom.shabakeh.net/28047/vmware-fixes-critical-zero-day-exploit.html
https://www.vmware.com/security/advisories/VMSA-2023-0009.html
https://www.vmware.com/security/advisories/VMSA-2023-0008.html
فورتینت
در ماهی که گذشت شرکت فورتینت (Fortinet) با انتشار چندین توصیهنامه از ترمیم 9 ضعف امنیتی در محصولات این شرکت خبر داد.
درجه اهمیت دو مورد از آنها «بالا»، چهار مورد از نوع «میانه» و سه مورد از نوع «کم» (Low) گزارش شده است. جزییات بیشتر در خصوص ضعفهای امنیتی مذکور در لینک زیر قابل مطالعه است:
https://www.fortiguard.com/psirt
ادوبی
شرکت ادوبی (Adobe) در مجموعه اصلاحیههای امنیتی ماه می 2023، 14 آسیبپذیری را در نرمافزار Substance 3D Painter این شرکت ترمیم کرد که 11 مورد از آنها دارای درجه اهمیت «بحرانی» و سه مورد دیگر از نوع «زیاد» میباشند. آسیبپذیریهای «بحرانی» مذکور میتوانند منجر به «اجرای کد» (Arbitrary code execution) شوند. در حالی که سوءاستفاده از ضعفهای امنیتی «زیاد» ترمیم شده در Substance 3D Painter میتوانند منجر به «نشت حافظه» (Memory Leak) شوند. اطلاعات بیشتر در خصوص اصلاحیه ماه می 2023 ادوبی در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
اپل
در اردیبهشت ماه، شرکت اپل (Apple) با انتشار بهروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. توصیه میشود با مراجعه به نشانی زیر، بهروزرسانی مربوطه هر چه سریعتر اعمال شود:
https://support.apple.com/en-us/HT201222
موزیلا
در اردیبهشت ماه، شرکت موزیلا (Mozilla) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیهها، در مجموع 13 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت پنج مورد از آنها «بالا»، هفت مورد «میانه» و یک مورد «کم» گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
گوگل
شرکت گوگل (Google) در اردیبهشت ماه در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 26 اردیبهشت انتشار یافت، نسخه 113.0.5672.126 برای Mac و Linux و نسخه 113.0.5672.126/.127 برای Windows است. به تمامی کاربران Chrome توصیه اکید میشود که از بهروز بودن این مرورگر بر روی دستگاه خود اطمینان حاصل کنند. فهرست اشکالات مرتفع شده در نشانی زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_8.html
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop.html
دروپال
جامعه دروپال (Drupal Community) در اردیبهشت 1402 در دو نوبت اقدام به عرضه بهروزرسانی و ترمیم ضعفهای امنیتی با درجه اهمیت «نسبتاً بحرانی» (Moderately Critical) در نسخ مختلف Drupal نمود. توضیحات کامل در خصوص این بهروزرسانیها و توصیهنامههای منتشر شده در نشانیهای زیر در دسترس میباشد:
https://www.drupal.org/security
جونیپر نتورکز
جونیپر نتورکز (Juniper Networks) هم در اردیبهشت ماه با ارائه بهروزرسانی چندین ضعف امنیتی را محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعفهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
آسیبپذیریهای در حال سوءاستفاده
در اردیبهشت 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به «فهرست آسیبپذیریهای در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-2004-1464 (Cisco):
CVE-2016-6415 (Cisco):
CVE-2023-21492 (Samsung):
https://security.samsungmobile.com/securityUpdate.smsb
CVE-2023-25717 (Ruckus Wireless):
https://support.ruckuswireless.com/security_bulletins/315
CVE-2021-3560 (Red Hat):
https://bugzilla.redhat.com/show_bug.cgi?id=1961710
CVE-2014-0196 (Linux):
https://lkml.iu.edu/hypermail/linux/kernel/1609.1/02103.html
CVE-2010-3904 (Linux):
https://lkml.iu.edu/hypermail/linux/kernel/1601.3/06474.html
CVE-2015-5317 (Jenkins):
https://www.jenkins.io/security/advisory/2015-11-11
CVE-2016-3427 (Oracle):
https://www.oracle.com/security-alerts/cpuapr2016v3.html
CVE-2016-8735 (Apache):
https://tomcat.apache.org/security-9.html
CVE-2023-29336 (Microsoft):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29336
CVE-2023-1389 (TP-Link):
https://www.tp-link.com/us/support/download/archer-ax21/v3/#Firmware
CVE-2021-45046 (Apache):
https://logging.apache.org/log4j/2.x/security.html
CVE-2023-21839 (Oracle):
https://www.oracle.com/security-alerts/cpujan2023.html
CVE-2023-28432 (MinIO):
https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
CVE-2023-27350 (PaperCut):
https://www.papercut.com/kb/Main/PO-1216-and-PO-1219
CVE-2023-2136 (Google):
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.