به‌روزرسانی‌ها و اصلاحیه‌های عرضه‌شده در مهر 1402

در مهر 1402، شرکت‌های مایکروسافت، سیسکو، ترلیکس، بیت‌دیفندر، فورتی‌نت، سوفوس، وی‌ام‌ور، سیتریکس، اوراکل، موزیلا، گوگل، ادوبی و اپل اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

 

مایکروسافتفورتی نتاوراکل
سیسکوسوفوسموزیلا
ترلیکسوی ام ورگوگل
بیت دیفندرسیتریکسادوبی
اپل  

 

مـایـکـروسـافـت

18 مهر 1402، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی اکتبر 2023 منتشر کرد. اصلاحیه‌های مذکور، بیش از 100 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، مجموعه‌اصلاحیه‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

درجه اهمیت 12 مورد از آسیب‌پذیری‌های ترمیم‌شده در اکتبر 2023، “بحرانی” (Critical) اعلام شده که بدان معناست بدون نیاز به دخالت کاربر می‌توانند مورد سوءاستفاده مهاجمان قرار بگیرند.

نکته قابل توجه این‌که، حداقل 3 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع “روز-صفر” بوده و مهاجمان به‌طور گسترده در حال سوءاستفاده از آنها هستند. مایکروسافت، آن دسته از آسیب‌پذیری‌ها روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.

مجموعه‌اصلاحیه‌های اکتبر، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

  • Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
  • Elevation of Privilege (افزایش سطح دسترسی)
  • Information Disclosure (افشای اطلاعات)
  • Denial of Service – به اختصار DoS (منع سرویس)
  • Security Feature Bypass (دور زدن سازوکارهای امنیتی)
  • Spoofing (جعل)

فهرست آسیب‌پذیری‌های روز-صفر ماه اکتبر که همگی از مدتی پیش موردسوءاستفاده قرار گرفته‌اند به شرح زیر است:

  • CVE-2023-41763 – باگی از نوع Elevation of Privilege در Skype for Business است و سوءاستفاده از آن مهاجم را قادر به دستیابی به اطلاعات بالقوه محرمانه می‌کند.
  • CVE-2023-36563 – ضعفی از نوع Information Disclosure در نرم‌افزار Microsoft WordPad است. مهاجم با بکارگیری این آسیب‌پذیری، قادر به سرقت هش‌های NTLM در زمان باز شدن فایل در WordPad خواهد بود. ارسال ایمیلی با عنوان و محتوای فریبنده که یک فایل دستکاری‌شده به آن پیوست شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری می‌باشد. در جریان حملات موسوم به NTLM Relay، از هش‌های NTLM به‌منظور استخراج رمز کاربران بهره گرفته می‌شود.
  • CVE-2023-44487 – شناسه ضعفی است که در جریان تکنیک جدیدی موسوم به HTTP/2 Rapid Reset، اجرای حملات DoS را برای مهاجمان فراهم می‌کند. گفته می‌شود این تکنیک از آگوست سال میلادی جاری به استخدام مهاجمان در آمده است. در تکنیک مذکور از قابلیت Stream Cancellation در HTTP/2 برای ارسال و لغو مستمر درخواست‌ها و در نهایت از کاراندازی خدمات‌دهی سرور قربانی استفاده می‌شود. از آنجایی که HTTP/2 به‌نحوی استاندارد تلقی می‌شود، اصلاحیه‌ای برای آن عرضه نشده است. با این حال، شرکت مایکروسافت، در مقاله فنی زیر، راهکارهایی را برای مقاوم‌سازی در برابر تکنیک HTTP/2 Rapid Reset ارائه کرده است.

https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2/

فهرست کامل آسیب‌پذیری‌های ترمیم‌شده توسط مجموعه‌اصلاحیه‌های اکتبر 2023 مایکروسافت در گزارش زیر قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2106/

 

سـیـسـکـو

شرکت سیسکو (Cisco Systems) در مهر ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این به‌روز‌رسانی‌ها، ده‌ها آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

همچنین سیسکو، به‌تازگی، از سوءاستفاده گسترده از یک آسیب‌پذیری بحرانی روز-صفر با شناسه CVE-2023-20198 خبر داده که بهره‌جویی از آن در کنار ضعفی دیگر، با شناسه CVE-2023-20273 مهاجمان را قادر به تزریق کد مخرب به دستگاه‌های با سیستم عامل IOS XE می‌کند.

به گفته سیسکو، حداقل از 27 شهریور مهاجمان اقدام به سوءاستفاده از آسیب‌پذیری CVE-2023-20198 کرده‌اند. شدت این آسیب‌پذیری، 10 از 10 – بر طبق استاندارد CVSS – اعلام شده است.

CVE-2023-20273 نیز ضعفی از نوع “ترفیع امتیازی” (Privilege Escalation) است و سوءاستفاده از آن، مهاجم را قادر به ارتقای دسترسی خود تا سطح root و در ادامه در اختیار گرفتن کنترل کامل دستگاه‌های Cisco IOS XE می‌کند.

دامنه گسترده‌ای از تجهیزات تحت شبکه سیسکو همچون سوییچ‌ها، روترها و دستگاه‌های Access Point از سیستم عامل Cisco IOS XE استفاده می‌کنند.

بر اساس آمار سایت shodan.io، در حال حاضر، حدود 150 دستگاه آسیب‌پذیر در کشور بر روی اینترنت قابل دسترس هستند.

به تمامی راهبران توصیه اکید می‌شود با مطالعه مقاله فنی زیر، نسبت به مقاوم‌سازی دستگاه‌های آسیب‌پذیر اقدام کنند:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

جزییات سوءاستفاده مهاجمان از آسیب‌پذیری‌های اشاره‌شده در این خبر نیز در گزارش زیر قابل مطالعه است:

https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

 

تـرلـیـکـس

شرکت ترلیکس (Tellix) نیز در مهر ماه، اقدام به انتشار نسخه‌های زیر کرد:

DLP Endpoint for Windows 11.10.102 Hotfix

 

در این نسخه، ضعفی با شناسه CVE-2023-4814 و شدت “متوسط” (Medium) و چندین باگ در نرم‌افزار DLP Endpoint for Windows برطرف شده است.

Endpoint Security for Mac 10.7.9 Refreshed Build

 

پشتیبانی از Sonoma و برطرف کردن چند باگ از جمله موارد لحاظ‌شده در این نسخه می‌باشد.

Endpoint Security for Linux Kernel Update Package 10.7.16.1049

 

در این به‌روزرسانی، هسته‌های جدید Linux به فهرست هسته‌های قابل پشتیبانی توسط Endpoint Security افزوده شده است.

Exploit Prevention Content Version Update 13123 for Endpoint Security

 

این به‌روزرسانی، امضاهای زیر را به ماژول Exploit Prevention نرم‌افزار Trellix Endpoint Security اضافه می‌کند:

  • Signature 6266: T1562 – AMSI Bypass – AmsiScanString Memory Patch
  • Signature 6267: T1036 – Masquerading PowerShell via PEB

همچنین آسیب‌پذیری‌های زیر نیز تحت پوشش قابلیت Generic Privilege Escalation Prevention (امضای 6052) قرار گرفته‌اند:

  • CVE-2023-36594
  • CVE-2023-36731
  • CVE-2023-36743
  • CVE-2023-36776
  • CVE-2023-41772
  • CVE-2023-41831

Exploit Prevention Content for Linux Update 00302

در این به‌روزرسانی، امضاهای زیر به ماژول Exploit Prevention نرم‌افزار Trellix Endpoint Security for Linux افزوده شده است:

Signature 50036: Possible IPStorm Trojan Infection Detected

Signature 50037: Possible prometei Trojan Infection Detected

Signature 50038: Possible Ganiw Backdoor Infection Detected

Signature 50039: Possible Binsbot Trojan Infection Detected

 

بـیـت‌دیـفـنـدر

در ماهی که گذشت شرکت بیت‌دیفندر (Bitdefender) اقدام به انتشار نسخه‌های زیر کرد:

GravityZone Control Center 6.44.1-1:

https://www.bitdefender.com/business/support/en/77211-78199-gravityzone-control-center.html

Endpoint Security Tools for Windows 7.9.7.334:

https://www.bitdefender.com/business/support/en/77211-77540-windows-agent.html

Endpoint Security Tools for Mac:

https://www.bitdefender.com/business/support/en/77211-78218-macos-agent.html

در نسخه‌های مذکور، علاوه بر افزوده شدن قابلیت‌های جدید، باگ‌ها و اشکالاتی نیز مرتفع شده است.

 

فـورتـی‌نـت

در هفتمین ماه 1402، شرکت فورتی‌نت (Fortinet) اقدام به ترمیم 5 آسیب‌پذیری امنیتی زیر در محصولات خود کرد:

CVE-2023-33301 در FortiOS:

https://www.fortiguard.com/psirt/FG-IR-23-139

CVE-2023-37935 در FortiOS:

https://www.fortiguard.com/psirt/FG-IR-23-120

CVE-2023-41841 در FortiOS:

https://www.fortiguard.com/psirt/FG-IR-23-318

CVE-2023-36555 در FortiOS:

https://www.fortiguard.com/psirt/FG-IR-23-104

CVE-2023-41675 در FortiOS و FortiProxy:

https://www.fortiguard.com/psirt/FG-IR-23-184

مهاجم با سوءاستفاده از برخی از آسیب‌پذیری‌های مذکور، قادر به در اختیار گرفتن سامانه آسیب‌پذیر خواهد بود.

 

سـوفـوس

شرکت سوفوس (Sophos) نیز در مهر 1402، ضعفی با شناسه CVE-2023-5552 را در محصول Firewall ساخت این شرکت برطرف کرد که جزییات آن در لینک زیر قابل مطالعه است:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20231017-spx-password

همچنین این شرکت از وجود چندین آسیب‌پذیری در نرم‌افزار کد-باز Exim خبر داده است. محصولات Sophos Firewall و Sophos UTM در مواردی می‌توانند از آسیب‌پذیری‌های مذکور متأثر شوند. توصیه‌نامه سوفوس در این خصوص در لینک زیر قابل دریافت است:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20231005-exim-vuln

 

وی‌ام‌ور

شرکت وی‌ام‌ور(VMware)  در ماهی که گذشت با انتشار دو توصیه‌نامه،‌ مجموعاً، 5 ضعف امنیتی را در محصولات زیر ترمیم کرد:

CVE-2023-34051 و CVE-2023-34052 در VMware Aria Operations for Logs:

https://www.vmware.com/security/advisories/VMSA-2023-0021.html

CVE-2023-34044 و CVE-2023-34045 و CVE-2023-34046 در VMware Fusion and Workstation:

https://www.vmware.com/security/advisories/VMSA-2023-0022.html

 

سیتریکس

شرکت سیتریکس (Citrix)، در مهر 1402، از ترمیم دو آسیب‌پذیری “روز-صفر” با شناسه‌های CVE-2023-4966 و CVE-2023-4967 در محصولات NetScaler ADC و NetScaler Gateway خبر داد. جزییات این آسیب‌پذیری‌ها و محصولات متأثر از آنها در لینک زیر قابل دریافت است:

https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

 

اوراکـل

در روزهای پایانی مهر، شرکت اوراکل (Oracle) مطابق با برنامه زمانبندی شده سه‌ماهه خود، با انتشار مجموعه ‌به‌روزرسانی‌های موسوم به Critical Patch Update اقدام به ترمیم 387 آسیب‌پذیری امنیتی در ده‌ها محصول این شرکت از جمله Solaris و Java کرد. سوءاستفاده از برخی از آسیب‌پذیری‌های مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. جزییات کامل در خصوص آنها در نشانی‌ زیر قابل دریافت است:

https://www.oracle.com/security-alerts/cpujul2023.html

 

مـوزیـلا

در مهر ماه، شرکت موزیلا (Mozilla)، چندین آسیب‌پذیری را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این ضعف‌های امنیتی، “بحرانی” گزارش شده است. اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

 

گـوگـل

در مهر 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. حداقل یکی از آسیب‌پذیری‌های ترمیم‌شده در ماهی که گذشت از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی گوگل در حال سوءاستفاده از آن بوده‌اند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://chromereleases.googleblog.com

 

ادوبـی

در مهر، شرکت ادوبی (Adobe) اصلاحیه‌های امنیتی اکتبر 2023 خود را منتشر کرد. اصلاحیه‌های مذکور، چندین آسیب‌پذیری امنیتی را در محصولات زیر ترمیم می‌کنند:

  • Adobe Bridge
  • Adobe Commerce
  • Adobe Photoshop

اطلاعات بیشتر در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

سوءاستفاده از برخی از ضعف‌های امنیتی ترمیم‌شده توسط این اصلاحیه‌ها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیب‌پذیر ادوبی می‌کند.

 

اپـل

شرکت اپل (Apple) در مهر ماه اقدام به وصله چندین آسیب‌پذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:

https://support.apple.com/en-us/HT201222

حداقل یکی از آسیب‌پذیری‌های ترمیم‌شده در مهر ماه، از “روز-صفر” بوده و از مدتی قبل مورد سوءاستفاده مهاجمان قرار گرفته بوده است.

 

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در مهر 1402، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

  • CVE-2023-20273 Cisco IOS XE Web UI Unspecified Vulnerability
  • CVE-2023-4966 Citrix NetScaler ADC and NetScaler Gateway Buffer Overflow Vulnerability
  • CVE-2023-20198 Cisco IOS XE Web UI Privilege Escalation Vulnerability
  • CVE-2023-21608 Adobe Acrobat and Reader Use-After-Free Vulnerability
  • CVE-2023-20109 Cisco IOS and IOS XE Group Encrypted Transport VPN Out-of-Bounds Write Vulnerability
  • CVE-2023-41763 Microsoft Skype for Business Privilege Escalation Vulnerability
  • CVE-2023-36563 Microsoft WordPad Information Disclosure Vulnerability
  • CVE-2023-44487 HTTP/2 Rapid Reset Attack Vulnerability
  • CVE-2023-22515 Atlassian Confluence Data Center and Server Broken Access Control Vulnerability
  • CVE-2023-40044 Progress WS_FTP Server Deserialization of Untrusted Data Vulnerability
  • CVE-2023-42824 Apple iOS and iPadOS Kernel Privilege Escalation Vulnerability
  • CVE-2023-42793 JetBrains TeamCity Authentication Bypass Vulnerability
  • CVE-2023-28229 Microsoft Windows CNG Key Isolation Service Privilege Escalation Vulnerability
  • CVE-2023-4211 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
  • CVE-2023-5217 Google Chrome libvpx Heap Buffer Overflow Vulnerability
  • CVE-2018-14667 Red Hat JBoss RichFaces Framework Expression Language Injection Vulnerability
  • CVE-2023-41991 Apple Multiple Products Improper Certificate Validation Vulnerability
  • CVE-2023-41992 Apple Multiple Products Kernel Privilege Escalation Vulnerability
  • CVE-2023-41993 Apple Multiple Products WebKit Code Execution Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانه‌های کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:

https://www.cisa.gov/news-events/cybersecurity-advisories?f%5B0%5D=advisory_type%3A95&f%5B1%5D=advisory_type%3A96&f%5B2%5D=advisory_type%3A97&search_api_fulltext=&sort_by=field_release_date

همچون همیشه خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *