به‌روزرسانی‌ها و اصلاحیه‌های عرضه‌شده در شهریور 1402

در شهریور 1402، شرکت‌های مایکروسافت، سیسکو، ترلیکس، بیت‌دیفندر، فورتی‌نت، وی‌ام‌ور، موزیلا، گوگل، ادوبی و اپل اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

این بخش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

مـایـکـروسـافـت

21 شهریور 1402، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر 2023 منتشر کرد. اصلاحیه‌های مذکور، 59 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

درجه اهمیت 5 مورد از آسیب‌پذیری‌های ترمیم‌شده در سپتامبر 2023، “بحرانی” (Critical) اعلام شده است. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی می‌شوند.

نکته قابل توجه این که، حداقل 2 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع “روز-صفر” (Zero-day) بوده و از مدتی پیش، مورد سوءاستفاده مهاجمان قرار گرفته است. جزییات یکی از این ضعف‌های امنیتی نیز به طور عمومی منتشر و افشا شده است.

مجموعه اصلاحیه‌های سپتامبر، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

• Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
• Elevation of Privilege (افزایش سطح دسترسی)
• Information Disclosure (افشای اطلاعات)
• Denial of Service – به اختصار DoS (منع سرویس)
• Security Feature Bypass (دور زدن مکانیزم‌های امنیتی)
• Spoofing (جعل)

5 ضعف امنیتی ترمیم‌شده این ماه نیز مربوط به Edge (مرورگر مبتنی پروژه Chromium مایکروسافت) است.

فهرست دو آسیب‌پذیری روز-صفر این ماه به شرح زیر است:

• CVE-2023-36802 –ضعفی از نوع “افزایش سطح دسترسی” بوده و Microsoft Streaming Service Proxy از آن متأثر می‌شود. سوءاستفاده موفق از این آسیب‌پذیری، مهاجم را قادر به دستیابی به سطح دسترسی SYSTEM بر روی سیستم قربانی می‌کند.
• CVE-2023-36761 – که ضعفی از نوع “افشای سطح دسترسی” در نرم‌افزار Microsoft Word بوده و بکارگیری آن امکان سرقت هش‌های NTLM را در جریان باز کردن فایل در این نرم‌افزار (حتی در Preview Pane) فراهم می‌کند. از هش‌های NTLM می‌توان برای دسترسی یافتن به حساب‌های کاربری Windows سوءاستفاده کرد.

CVE-2023-36762، دیگر ضعف امنیتی مرتبط با نرم‌افزار Word است. ضعفی از نوع “اجرای از راه دور کد” که با بکارگیری تکنیک‌های مهندسی اجتماعی به منظور تشویق قربانی به باز کردن یک سند دستکاری‌شده به سادگی قابل سوءاستفاده خواهد بود.

پنج آسیب‌پذیری این ماه نیز مربوط به نرم‌افزار Microsoft Exchange Server است. نرم‌افزاری که در دو سال اخیر به شدت مورد توجه مهاجمان برای رخنه اولیه به سازمان‌ها قرار گرفته است.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های سپتامبر 2023 مایکروسافت در گزارش زیر قابل مطالعه است:

https://newsroom.shabakeh.net/28404/microsoft-security-updates-2023-09.html

سـیـسـکـو

شرکت سیسکو (Cisco Systems) در شهریور ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این به‌روز‌رسانی‌ها، بیش از 20 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

همچنین بر اساس توصیه‌نامه‌ای که شرکت سیسکو در اواسط شهریور، آن را منتشر کرده گردانندگان باج‌افزار Akira در حال سوءاستفاده از آسیب‌پذیری CVE-2023-20269 به‌منظور رخنه اولیه به شبکه اهداف خود هستند.

آسیب‌پذیری مذکور، ناشی از وجود ضعفی در قابلیت VPN محصولات Cisco Adaptive Security Appliance – به اختصار ASA – و Cisco Firepower Threat Defense – به اختصار FTD – است و بهره‌جویی از آن، مهاجم با دسترسی از راه دور (Remote Access) را قادر به اجرای حمله سعی‌وخطا (Brute-force) با هدف برقراری یک نشست SSL VPN از نوع Clientless می‌کند.

سیسکو، هنوز اصلاحیه‌ای برای CVE-2023-20269 عرضه نکرده است. در عین حال، در توصیه‌نامه زیر به اقداماتی در راستای مقاوم‌سازی این آسیب‌پذیری اشاره شده است:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC

مطالعه راهنمای مذکور، به ویژه بخش Workarounds آن به تمامی راهبران ASA و FTD توصیه می‌شود.

مقاله سیسکو در خصوص روش کار مهاجمان باج‌افزار Akira در حملات اخیر نیز در زیر قابل مطالعه است:

https://blogs.cisco.com/security/akira-ransomware-targeting-vpns-without-multi-factor-authentication

لازم به ذکر است پیش‌تر نیز شرکت رپید سون (Rapid7) در این گزارش، از سوءاستفاده گردانندگان باج‌افزار Lockbit از تجهیزات Cisco ASA برای نفود به شبکه سازمان‌ها خبر داده بود.

تـرلـیـکـس

شرکت ترلیکس (Trellix) نسخه‌های جدید از چندین محصول خود را منتشر کرد. نسخه‌های جدید شامل موارد زیر می‌شود:

Endpoint Security 10.7 September 2023 Update

در این نسخه، علاوه بر افزوده شدن چند قابلیت جدید در بخش‌هایی همچون Exploit Prevention و Firewall، بهبودهایی در فناوری‌های مورد استفاده در این نرم‌افزار نظیر AMSI لحاظ شده است. همچنین در نسخه مذکور ضعفی در zlib نیز ترمیم و اصلاح شده است. شرح تغییرات نسخه جدید در لینک‌های زیر قابل دریافت است:

https://docs.trellix.com/bundle/trellix-endpoint-security-10.7.x-release-notes

Endpoint Security for Linux 10.7.16

در این نسخه از این نرم‌افزار، ضمن افزوده شدن چندین امکان امنیتی جدید، باگ‌های گزارش‌شده در نسخه‌های قبلی نیز برطرف شده است. جزییات بیشتر در لینک زیر:

https://docs.trellix.com/bundle/endpoint-security-10.7.16-threat-prevention-release-notes-linux

Threat Intelligence Exchange 4.0.0 Hotfix 4

این به‌روزرسانی فقط شامل Extension نسخه 4 نرم‌افزار Threat Intelligence Exchange می‌شود. جزییات کامل در خصوص به‌روزرسانی مذکور، در لینک زیر قابل مطالعه است:

https://docs.trellix.com/bundle/threat-intelligence-exchange-v4-0-x-hotfix4-release-notes

Threat Intelligence Exchange 4.5.0

جدیدترین نسخه نرم‌افزار Threat Intelligence Exchange است که علاوه بر برطرف شدن اشکالات گزارش‌شده در نسخه‌های قبلی، قابلیت‌های جدیدی به‌شرح لینک زیر به آن افزوده شده است:

https://docs.trellix.com/bundle/threat-intelligence-exchange-4.5.x-release-notes

Trellix Agent 5.8.0

پشتیبانی از بسترهای جدید و رفع چند اشکال از جمله موارد لحاظ شده در این نسخه است. جزییات بیشتر در لینک زیر:

https://docs.trellix.com/bundle/trellix-agent-5.8.x-release-notes

بـیـت‌دیـفـنـدر

در ماهی که گذشت شرکت بیت‌دیفندر (Bitdefender) اقدام به انتشار نسخه‌های زیر کرد:

GravityZone Control Center 6.43.1-1:

https://www.bitdefender.com/business/support/en/77211-78199-gravityzone-control-center.html

GravityZone Security for Email 2.45.4:

https://www.bitdefender.com/business/support/en/77211-78189-email-security-console.html

Bitdefender Endpoint Security Tools for Windows 7.9.5.324:

https://www.bitdefender.com/business/support/en/77211-77540-windows-agent.html

Bitdefender Endpoint Security Tools for Linux 7.0.3.2271:

https://www.bitdefender.com/business/support/en/77211-77513-linux-agent.html

Bitdefender Endpoint Security Tools for Mac 7.14.32.200024:

https://www.bitdefender.com/business/support/en/77211-78218-macos-agent.html

Security Server Multi-Platform 6.2.16.213:

https://www.bitdefender.com/business/support/en/77211-78253-security-server-multi-platform.html

XDR Network Security Virtual Appliance 1.0.15.115:

https://www.bitdefender.com/business/support/en/77211-155688-xdr-network-security-virtual-appliance.html

در نسخه‌های مذکور، علاوه بر افزوده شدن قابلیت‌های جدید، باگ‌ها و اشکالاتی نیز مرتفع شده است.

فـورتـی‌نـت

در ششمین ماه 1402، شرکت فورتی‌نت (Fortinet) با انتشار یک توصیه‌نامه‌‌ از ترمیم ضعفی با شناسه CVE-2023-29183 از نوع Cross-site Scripting در FortiOS و FortiProxy خبر داد. مهاجم با سوءاستفاده از آسیب‌پذیری مذکور، قادر به در اختیار گرفتن سامانه آسیب‌پذیر خواهد بود. توصیه‌نامه امنیتی فورتی‌نت در لینک زیر قابل مطالعه است:

https://www.fortiguard.com/psirt/FG-IR-23-106

وی‌ام‌ور

شرکت وی‌ام‌ور(VMware)  در ماهی که گذشت با انتشار دو توصیه‌نامه‌ مجموعاً سه ضعف امنیتی را در محصولات زیر اقدام کرد:

VMware Tools

VMware Aria Operations for Networks

توصیه‌نامه‌های مذکور در لینک زیر در دسترس است:

https://www.vmware.com/security/advisories/VMSA-2023-0019.html

https://www.vmware.com/security/advisories/VMSA-2023-0018.html

مـوزیـلا

در شهریور ماه، شرکت موزیلا (Mozilla) با ارائه به‌روزرسانی، یک آسیب‌پذیری امنیتی “بحرانی” را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. این شرکت از وجود یک آسیب‌پذیری “روز-صفر” نیز خبر داده که البته هنوز برای آن اصلاحیه‌ای منتشر نشده است. اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

‌

گـوگـل

در شهریور 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. 117.0.5938.92، آخرین نسخه این مرورگر است که در 30 شهریور انتشار یافت. اطلاعات بیشتر در لینک زیر:

https://chromereleases.googleblog.com

توضیح اینکه یکی از آسیب‌پذیری‌های ترمیم‌شده توسط گوگل در شهریور از نوع “روز-صفر” گزارش شده است.

ادوبـی

در شهریور، شرکت ادوبی (Adobe) اصلاحیه‌های امنیتی سپتامبر 2023 خود را منتشر کرد. اصلاحیه‌های مذکور، چندین آسیب‌پذیری امنیتی را در محصولات زیر ترمیم می‌کنند:

Adobe Acrobat and Reader

Adobe Connect

Adobe Experience Manager

اطلاعات بیشتر در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

سوءاستفاده از برخی از ضعف‌های امنیتی ترمیم‌شده توسط این اصلاحیه‌ها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیب‌پذیر ادوبی می‌کند. ضمن آن که یکی از آسیب‌پذیری‌های Acrobat and Reader با شناسه CVE-2023-26369 از نوع “روز-صفر” بوده و از پیش از عرضه به‌روزرسانی از سوی ادوبی مورد سوءاستفاده حداقل یک گروه از مهاجمان قرار گرفته است.

اپـل

شرکت اپل (Apple) در شهریور ماه اقدام به وصله چندین آسیب‌پذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:

https://support.apple.com/en-us/HT201222

این شرکت، 30 شهریور نیز با انتشار توصیه‌نامه زیر از ترمیم دو آسیب‌پذیری “روز-صفر” که از مدتی قبل مورد سوءاستفاده مهاجمان قرار گرفته خبر داد:

https://support.apple.com/en-us/HT213931

16 مورد از آسیب‌پذیری‌های ترمیم‌شده توسط اپل در سال میلادی جاری از نوع “روز-صفر” گزارش شده‌اند.

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در شهریور 1402، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:

• CVE-2023-41179 Trend Micro Apex One and Worry-Free Business Security Remote Code Execution Vulnerability
• CVE-2023-28434 MinIO Security Feature Bypass Vulnerability
• CVE-2022-22265 Samsung Mobile Devices Use-After-Free Vulnerability
• CVE-2014-8361 Realtek SDK Improper Input Validation Vulnerability
• CVE-2017-6884 Zyxel EMG2926 Routers Command Injection Vulnerability
• CVE-2021-3129 Laravel Ignition File Upload Vulnerability
• CVE-2022-31459 Owl Labs Meeting Owl Inadequate Encryption Strength Vulnerability
• CVE-2022-31461 Owl Labs Meeting Owl Missing Authentication for Critical Function Vulnerability
• CVE-2022-31462 Owl Labs Meeting Owl Use of Hard-coded Credentials Vulnerability
• CVE-2022-31463 Owl Labs Meeting Owl Improper Authentication Vulnerability
• CVE-2023-26369 Adobe Acrobat and Reader Out-of-Bounds Write Vulnerability
• CVE-2023-35674 Android Framework Privilege Escalation Vulnerability
• CVE-2023-20269 Cisco Adaptive Security Appliance and Firepower Threat Defense Unauthorized Access Vulnerability
• CVE-2023-4863 Google Chromium WebP Heap-Based Buffer Overflow Vulnerability
• CVE-2023-36761 Microsoft Word Information Disclosure Vulnerability
• CVE-2023-36802 Microsoft Streaming Service Proxy Privilege Escalation Vulnerability
• CVE-2023-41064 Apple iOS, iPadOS, and macOS ImageIO Buffer Overflow Vulnerability
• CVE-2023-41061 Apple iOS, iPadOS, and watchOS Wallet Code Execution Vulnerability
• CVE-2023-33246 Apache RocketMQ Command Execution Vulnerability
• CVE-2023-38831 RARLAB WinRAR Code Execution Vulnerability
• CVE-2023-32315 Ignite Realtime Openfire Path Traversal Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانه‌های کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:

https://www.cisa.gov/news-events/cybersecurity-advisories?search_api_fulltext=&sort_by=field_release_date

همچون همیشه خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.