در شهریور 1402، شرکتهای مایکروسافت، سیسکو، ترلیکس، بیتدیفندر، فورتینت، ویامور، موزیلا، گوگل، ادوبی و اپل اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
این بخش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
مایکروسافت | فورتینت | گوگل |
سیسکو | ویامور | ادوبی |
ترلیکس | موزیلا | اپل |
بیتدیفندر |
مـایـکـروسـافـت
21 شهریور 1402، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی سپتامبر 2023 منتشر کرد. اصلاحیههای مذکور، 59 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
درجه اهمیت 5 مورد از آسیبپذیریهای ترمیمشده در سپتامبر 2023، “بحرانی” (Critical) اعلام شده است. در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی میشوند.
نکته قابل توجه این که، حداقل 2 مورد از آسیبپذیریهای وصلهشده، از نوع “روز-صفر” (Zero-day) بوده و از مدتی پیش، مورد سوءاستفاده مهاجمان قرار گرفته است. جزییات یکی از این ضعفهای امنیتی نیز به طور عمومی منتشر و افشا شده است.
مجموعه اصلاحیههای سپتامبر، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن مکانیزمهای امنیتی)
- Spoofing (جعل)
5 ضعف امنیتی ترمیمشده این ماه نیز مربوط به Edge (مرورگر مبتنی پروژه Chromium مایکروسافت) است.
فهرست دو آسیبپذیری روز-صفر این ماه به شرح زیر است:
- CVE-2023-36802 –ضعفی از نوع “افزایش سطح دسترسی” بوده و Microsoft Streaming Service Proxy از آن متأثر میشود. سوءاستفاده موفق از این آسیبپذیری، مهاجم را قادر به دستیابی به سطح دسترسی SYSTEM بر روی سیستم قربانی میکند.
- CVE-2023-36761 – که ضعفی از نوع “افشای سطح دسترسی” در نرمافزار Microsoft Word بوده و بکارگیری آن امکان سرقت هشهای NTLM را در جریان باز کردن فایل در این نرمافزار (حتی در Preview Pane) فراهم میکند. از هشهای NTLM میتوان برای دسترسی یافتن به حسابهای کاربری Windows سوءاستفاده کرد.
CVE-2023-36762، دیگر ضعف امنیتی مرتبط با نرمافزار Word است. ضعفی از نوع “اجرای از راه دور کد” که با بکارگیری تکنیکهای مهندسی اجتماعی به منظور تشویق قربانی به باز کردن یک سند دستکاریشده به سادگی قابل سوءاستفاده خواهد بود.
پنج آسیبپذیری این ماه نیز مربوط به نرمافزار Microsoft Exchange Server است. نرمافزاری که در دو سال اخیر به شدت مورد توجه مهاجمان برای رخنه اولیه به سازمانها قرار گرفته است.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای سپتامبر 2023 مایکروسافت در گزارش زیر قابل مطالعه است:
https://newsroom.shabakeh.net/28404/microsoft-security-updates-2023-09.html
سـیـسـکـو
شرکت سیسکو (Cisco Systems) در شهریور ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، بیش از 20 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
همچنین بر اساس توصیهنامهای که شرکت سیسکو در اواسط شهریور، آن را منتشر کرده گردانندگان باجافزار Akira در حال سوءاستفاده از آسیبپذیری CVE-2023-20269 بهمنظور رخنه اولیه به شبکه اهداف خود هستند.
آسیبپذیری مذکور، ناشی از وجود ضعفی در قابلیت VPN محصولات Cisco Adaptive Security Appliance – به اختصار ASA – و Cisco Firepower Threat Defense – به اختصار FTD – است و بهرهجویی از آن، مهاجم با دسترسی از راه دور (Remote Access) را قادر به اجرای حمله سعیوخطا (Brute-force) با هدف برقراری یک نشست SSL VPN از نوع Clientless میکند.
سیسکو، هنوز اصلاحیهای برای CVE-2023-20269 عرضه نکرده است. در عین حال، در توصیهنامه زیر به اقداماتی در راستای مقاومسازی این آسیبپذیری اشاره شده است:
مطالعه راهنمای مذکور، به ویژه بخش Workarounds آن به تمامی راهبران ASA و FTD توصیه میشود.
مقاله سیسکو در خصوص روش کار مهاجمان باجافزار Akira در حملات اخیر نیز در زیر قابل مطالعه است:
https://blogs.cisco.com/security/akira-ransomware-targeting-vpns-without-multi-factor-authentication
لازم به ذکر است پیشتر نیز شرکت رپید سون (Rapid7) در این گزارش، از سوءاستفاده گردانندگان باجافزار Lockbit از تجهیزات Cisco ASA برای نفود به شبکه سازمانها خبر داده بود.
تـرلـیـکـس
شرکت ترلیکس (Trellix) نسخههای جدید از چندین محصول خود را منتشر کرد. نسخههای جدید شامل موارد زیر میشود:
Endpoint Security 10.7 September 2023 Update
در این نسخه، علاوه بر افزوده شدن چند قابلیت جدید در بخشهایی همچون Exploit Prevention و Firewall، بهبودهایی در فناوریهای مورد استفاده در این نرمافزار نظیر AMSI لحاظ شده است. همچنین در نسخه مذکور ضعفی در zlib نیز ترمیم و اصلاح شده است. شرح تغییرات نسخه جدید در لینکهای زیر قابل دریافت است:
https://docs.trellix.com/bundle/trellix-endpoint-security-10.7.x-release-notes
Endpoint Security for Linux 10.7.16
در این نسخه از این نرمافزار، ضمن افزوده شدن چندین امکان امنیتی جدید، باگهای گزارششده در نسخههای قبلی نیز برطرف شده است. جزییات بیشتر در لینک زیر:
https://docs.trellix.com/bundle/endpoint-security-10.7.16-threat-prevention-release-notes-linux
Threat Intelligence Exchange 4.0.0 Hotfix 4
این بهروزرسانی فقط شامل Extension نسخه 4 نرمافزار Threat Intelligence Exchange میشود. جزییات کامل در خصوص بهروزرسانی مذکور، در لینک زیر قابل مطالعه است:
https://docs.trellix.com/bundle/threat-intelligence-exchange-v4-0-x-hotfix4-release-notes
Threat Intelligence Exchange 4.5.0
جدیدترین نسخه نرمافزار Threat Intelligence Exchange است که علاوه بر برطرف شدن اشکالات گزارششده در نسخههای قبلی، قابلیتهای جدیدی بهشرح لینک زیر به آن افزوده شده است:
https://docs.trellix.com/bundle/threat-intelligence-exchange-4.5.x-release-notes
Trellix Agent 5.8.0
پشتیبانی از بسترهای جدید و رفع چند اشکال از جمله موارد لحاظ شده در این نسخه است. جزییات بیشتر در لینک زیر:
https://docs.trellix.com/bundle/trellix-agent-5.8.x-release-notes
بـیـتدیـفـنـدر
در ماهی که گذشت شرکت بیتدیفندر (Bitdefender) اقدام به انتشار نسخههای زیر کرد:
GravityZone Control Center 6.43.1-1:
https://www.bitdefender.com/business/support/en/77211-78199-gravityzone-control-center.html
GravityZone Security for Email 2.45.4:
https://www.bitdefender.com/business/support/en/77211-78189-email-security-console.html
Bitdefender Endpoint Security Tools for Windows 7.9.5.324:
https://www.bitdefender.com/business/support/en/77211-77540-windows-agent.html
Bitdefender Endpoint Security Tools for Linux 7.0.3.2271:
https://www.bitdefender.com/business/support/en/77211-77513-linux-agent.html
Bitdefender Endpoint Security Tools for Mac 7.14.32.200024:
https://www.bitdefender.com/business/support/en/77211-78218-macos-agent.html
Security Server Multi-Platform 6.2.16.213:
https://www.bitdefender.com/business/support/en/77211-78253-security-server-multi-platform.html
XDR Network Security Virtual Appliance 1.0.15.115:
در نسخههای مذکور، علاوه بر افزوده شدن قابلیتهای جدید، باگها و اشکالاتی نیز مرتفع شده است.
فـورتـینـت
در ششمین ماه 1402، شرکت فورتینت (Fortinet) با انتشار یک توصیهنامه از ترمیم ضعفی با شناسه CVE-2023-29183 از نوع Cross-site Scripting در FortiOS و FortiProxy خبر داد. مهاجم با سوءاستفاده از آسیبپذیری مذکور، قادر به در اختیار گرفتن سامانه آسیبپذیر خواهد بود. توصیهنامه امنیتی فورتینت در لینک زیر قابل مطالعه است:
https://www.fortiguard.com/psirt/FG-IR-23-106
ویامور
شرکت ویامور(VMware) در ماهی که گذشت با انتشار دو توصیهنامه مجموعاً سه ضعف امنیتی را در محصولات زیر اقدام کرد:
VMware Tools
VMware Aria Operations for Networks
توصیهنامههای مذکور در لینک زیر در دسترس است:
https://www.vmware.com/security/advisories/VMSA-2023-0019.html
https://www.vmware.com/security/advisories/VMSA-2023-0018.html
مـوزیـلا
در شهریور ماه، شرکت موزیلا (Mozilla) با ارائه بهروزرسانی، یک آسیبپذیری امنیتی “بحرانی” را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. این شرکت از وجود یک آسیبپذیری “روز-صفر” نیز خبر داده که البته هنوز برای آن اصلاحیهای منتشر نشده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
گـوگـل
در شهریور 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. 117.0.5938.92، آخرین نسخه این مرورگر است که در 30 شهریور انتشار یافت. اطلاعات بیشتر در لینک زیر:
https://chromereleases.googleblog.com
توضیح اینکه یکی از آسیبپذیریهای ترمیمشده توسط گوگل در شهریور از نوع “روز-صفر” گزارش شده است.
ادوبـی
در شهریور، شرکت ادوبی (Adobe) اصلاحیههای امنیتی سپتامبر 2023 خود را منتشر کرد. اصلاحیههای مذکور، چندین آسیبپذیری امنیتی را در محصولات زیر ترمیم میکنند:
Adobe Acrobat and Reader
Adobe Connect
Adobe Experience Manager
اطلاعات بیشتر در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
سوءاستفاده از برخی از ضعفهای امنیتی ترمیمشده توسط این اصلاحیهها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیبپذیر ادوبی میکند. ضمن آن که یکی از آسیبپذیریهای Acrobat and Reader با شناسه CVE-2023-26369 از نوع “روز-صفر” بوده و از پیش از عرضه بهروزرسانی از سوی ادوبی مورد سوءاستفاده حداقل یک گروه از مهاجمان قرار گرفته است.
اپـل
شرکت اپل (Apple) در شهریور ماه اقدام به وصله چندین آسیبپذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
این شرکت، 30 شهریور نیز با انتشار توصیهنامه زیر از ترمیم دو آسیبپذیری “روز-صفر” که از مدتی قبل مورد سوءاستفاده مهاجمان قرار گرفته خبر داد:
https://support.apple.com/en-us/HT213931
16 مورد از آسیبپذیریهای ترمیمشده توسط اپل در سال میلادی جاری از نوع “روز-صفر” گزارش شدهاند.
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در شهریور 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2023-41179 Trend Micro Apex One and Worry-Free Business Security Remote Code Execution Vulnerability
- CVE-2023-28434 MinIO Security Feature Bypass Vulnerability
- CVE-2022-22265 Samsung Mobile Devices Use-After-Free Vulnerability
- CVE-2014-8361 Realtek SDK Improper Input Validation Vulnerability
- CVE-2017-6884 Zyxel EMG2926 Routers Command Injection Vulnerability
- CVE-2021-3129 Laravel Ignition File Upload Vulnerability
- CVE-2022-31459 Owl Labs Meeting Owl Inadequate Encryption Strength Vulnerability
- CVE-2022-31461 Owl Labs Meeting Owl Missing Authentication for Critical Function Vulnerability
- CVE-2022-31462 Owl Labs Meeting Owl Use of Hard-coded Credentials Vulnerability
- CVE-2022-31463 Owl Labs Meeting Owl Improper Authentication Vulnerability
- CVE-2023-26369 Adobe Acrobat and Reader Out-of-Bounds Write Vulnerability
- CVE-2023-35674 Android Framework Privilege Escalation Vulnerability
- CVE-2023-20269 Cisco Adaptive Security Appliance and Firepower Threat Defense Unauthorized Access Vulnerability
- CVE-2023-4863 Google Chromium WebP Heap-Based Buffer Overflow Vulnerability
- CVE-2023-36761 Microsoft Word Information Disclosure Vulnerability
- CVE-2023-36802 Microsoft Streaming Service Proxy Privilege Escalation Vulnerability
- CVE-2023-41064 Apple iOS, iPadOS, and macOS ImageIO Buffer Overflow Vulnerability
- CVE-2023-41061 Apple iOS, iPadOS, and watchOS Wallet Code Execution Vulnerability
- CVE-2023-33246 Apache RocketMQ Command Execution Vulnerability
- CVE-2023-38831 RARLAB WinRAR Code Execution Vulnerability
- CVE-2023-32315 Ignite Realtime Openfire Path Traversal Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
همچون همیشه خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.