در مهر 1402، شرکتهای مایکروسافت، سیسکو، ترلیکس، بیتدیفندر، فورتینت، سوفوس، ویامور، سیتریکس، اوراکل، موزیلا، گوگل، ادوبی و اپل اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
مایکروسافت | فورتی نت | اوراکل |
سیسکو | سوفوس | موزیلا |
ترلیکس | وی ام ور | گوگل |
بیت دیفندر | سیتریکس | ادوبی |
اپل |
مـایـکـروسـافـت
18 مهر 1402، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی اکتبر 2023 منتشر کرد. اصلاحیههای مذکور، بیش از 100 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، مجموعهاصلاحیههای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
درجه اهمیت 12 مورد از آسیبپذیریهای ترمیمشده در اکتبر 2023، “بحرانی” (Critical) اعلام شده که بدان معناست بدون نیاز به دخالت کاربر میتوانند مورد سوءاستفاده مهاجمان قرار بگیرند.
نکته قابل توجه اینکه، حداقل 3 مورد از آسیبپذیریهای وصلهشده، از نوع “روز-صفر” بوده و مهاجمان بهطور گسترده در حال سوءاستفاده از آنها هستند. مایکروسافت، آن دسته از آسیبپذیریها روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
مجموعهاصلاحیههای اکتبر، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
فهرست آسیبپذیریهای روز-صفر ماه اکتبر که همگی از مدتی پیش موردسوءاستفاده قرار گرفتهاند به شرح زیر است:
- CVE-2023-41763 – باگی از نوع Elevation of Privilege در Skype for Business است و سوءاستفاده از آن مهاجم را قادر به دستیابی به اطلاعات بالقوه محرمانه میکند.
- CVE-2023-36563 – ضعفی از نوع Information Disclosure در نرمافزار Microsoft WordPad است. مهاجم با بکارگیری این آسیبپذیری، قادر به سرقت هشهای NTLM در زمان باز شدن فایل در WordPad خواهد بود. ارسال ایمیلی با عنوان و محتوای فریبنده که یک فایل دستکاریشده به آن پیوست شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیبپذیری میباشد. در جریان حملات موسوم به NTLM Relay، از هشهای NTLM بهمنظور استخراج رمز کاربران بهره گرفته میشود.
- CVE-2023-44487 – شناسه ضعفی است که در جریان تکنیک جدیدی موسوم به HTTP/2 Rapid Reset، اجرای حملات DoS را برای مهاجمان فراهم میکند. گفته میشود این تکنیک از آگوست سال میلادی جاری به استخدام مهاجمان در آمده است. در تکنیک مذکور از قابلیت Stream Cancellation در HTTP/2 برای ارسال و لغو مستمر درخواستها و در نهایت از کاراندازی خدماتدهی سرور قربانی استفاده میشود. از آنجایی که HTTP/2 بهنحوی استاندارد تلقی میشود، اصلاحیهای برای آن عرضه نشده است. با این حال، شرکت مایکروسافت، در مقاله فنی زیر، راهکارهایی را برای مقاومسازی در برابر تکنیک HTTP/2 Rapid Reset ارائه کرده است.
فهرست کامل آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای اکتبر 2023 مایکروسافت در گزارش زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2106/
سـیـسـکـو
شرکت سیسکو (Cisco Systems) در مهر ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، دهها آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
همچنین سیسکو، بهتازگی، از سوءاستفاده گسترده از یک آسیبپذیری بحرانی روز-صفر با شناسه CVE-2023-20198 خبر داده که بهرهجویی از آن در کنار ضعفی دیگر، با شناسه CVE-2023-20273 مهاجمان را قادر به تزریق کد مخرب به دستگاههای با سیستم عامل IOS XE میکند.
به گفته سیسکو، حداقل از 27 شهریور مهاجمان اقدام به سوءاستفاده از آسیبپذیری CVE-2023-20198 کردهاند. شدت این آسیبپذیری، 10 از 10 – بر طبق استاندارد CVSS – اعلام شده است.
CVE-2023-20273 نیز ضعفی از نوع “ترفیع امتیازی” (Privilege Escalation) است و سوءاستفاده از آن، مهاجم را قادر به ارتقای دسترسی خود تا سطح root و در ادامه در اختیار گرفتن کنترل کامل دستگاههای Cisco IOS XE میکند.
دامنه گستردهای از تجهیزات تحت شبکه سیسکو همچون سوییچها، روترها و دستگاههای Access Point از سیستم عامل Cisco IOS XE استفاده میکنند.
بر اساس آمار سایت shodan.io، در حال حاضر، حدود 150 دستگاه آسیبپذیر در کشور بر روی اینترنت قابل دسترس هستند.
به تمامی راهبران توصیه اکید میشود با مطالعه مقاله فنی زیر، نسبت به مقاومسازی دستگاههای آسیبپذیر اقدام کنند:
جزییات سوءاستفاده مهاجمان از آسیبپذیریهای اشارهشده در این خبر نیز در گزارش زیر قابل مطالعه است:
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
تـرلـیـکـس
شرکت ترلیکس (Tellix) نیز در مهر ماه، اقدام به انتشار نسخههای زیر کرد:
DLP Endpoint for Windows 11.10.102 Hotfix
در این نسخه، ضعفی با شناسه CVE-2023-4814 و شدت “متوسط” (Medium) و چندین باگ در نرمافزار DLP Endpoint for Windows برطرف شده است.
Endpoint Security for Mac 10.7.9 Refreshed Build
پشتیبانی از Sonoma و برطرف کردن چند باگ از جمله موارد لحاظشده در این نسخه میباشد.
Endpoint Security for Linux Kernel Update Package 10.7.16.1049
در این بهروزرسانی، هستههای جدید Linux به فهرست هستههای قابل پشتیبانی توسط Endpoint Security افزوده شده است.
Exploit Prevention Content Version Update 13123 for Endpoint Security
این بهروزرسانی، امضاهای زیر را به ماژول Exploit Prevention نرمافزار Trellix Endpoint Security اضافه میکند:
- Signature 6266: T1562 – AMSI Bypass – AmsiScanString Memory Patch
- Signature 6267: T1036 – Masquerading PowerShell via PEB
همچنین آسیبپذیریهای زیر نیز تحت پوشش قابلیت Generic Privilege Escalation Prevention (امضای 6052) قرار گرفتهاند:
- CVE-2023-36594
- CVE-2023-36731
- CVE-2023-36743
- CVE-2023-36776
- CVE-2023-41772
- CVE-2023-41831
Exploit Prevention Content for Linux Update 00302
در این بهروزرسانی، امضاهای زیر به ماژول Exploit Prevention نرمافزار Trellix Endpoint Security for Linux افزوده شده است:
Signature 50036: Possible IPStorm Trojan Infection Detected
Signature 50037: Possible prometei Trojan Infection Detected
Signature 50038: Possible Ganiw Backdoor Infection Detected
Signature 50039: Possible Binsbot Trojan Infection Detected
بـیـتدیـفـنـدر
در ماهی که گذشت شرکت بیتدیفندر (Bitdefender) اقدام به انتشار نسخههای زیر کرد:
GravityZone Control Center 6.44.1-1:
https://www.bitdefender.com/business/support/en/77211-78199-gravityzone-control-center.html
Endpoint Security Tools for Windows 7.9.7.334:
https://www.bitdefender.com/business/support/en/77211-77540-windows-agent.html
Endpoint Security Tools for Mac:
https://www.bitdefender.com/business/support/en/77211-78218-macos-agent.html
در نسخههای مذکور، علاوه بر افزوده شدن قابلیتهای جدید، باگها و اشکالاتی نیز مرتفع شده است.
فـورتـینـت
در هفتمین ماه 1402، شرکت فورتینت (Fortinet) اقدام به ترمیم 5 آسیبپذیری امنیتی زیر در محصولات خود کرد:
CVE-2023-33301 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-139
CVE-2023-37935 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-120
CVE-2023-41841 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-318
CVE-2023-36555 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-104
CVE-2023-41675 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-23-184
مهاجم با سوءاستفاده از برخی از آسیبپذیریهای مذکور، قادر به در اختیار گرفتن سامانه آسیبپذیر خواهد بود.
سـوفـوس
شرکت سوفوس (Sophos) نیز در مهر 1402، ضعفی با شناسه CVE-2023-5552 را در محصول Firewall ساخت این شرکت برطرف کرد که جزییات آن در لینک زیر قابل مطالعه است:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20231017-spx-password
همچنین این شرکت از وجود چندین آسیبپذیری در نرمافزار کد-باز Exim خبر داده است. محصولات Sophos Firewall و Sophos UTM در مواردی میتوانند از آسیبپذیریهای مذکور متأثر شوند. توصیهنامه سوفوس در این خصوص در لینک زیر قابل دریافت است:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20231005-exim-vuln
ویامور
شرکت ویامور(VMware) در ماهی که گذشت با انتشار دو توصیهنامه، مجموعاً، 5 ضعف امنیتی را در محصولات زیر ترمیم کرد:
CVE-2023-34051 و CVE-2023-34052 در VMware Aria Operations for Logs:
https://www.vmware.com/security/advisories/VMSA-2023-0021.html
CVE-2023-34044 و CVE-2023-34045 و CVE-2023-34046 در VMware Fusion and Workstation:
https://www.vmware.com/security/advisories/VMSA-2023-0022.html
سیتریکس
شرکت سیتریکس (Citrix)، در مهر 1402، از ترمیم دو آسیبپذیری “روز-صفر” با شناسههای CVE-2023-4966 و CVE-2023-4967 در محصولات NetScaler ADC و NetScaler Gateway خبر داد. جزییات این آسیبپذیریها و محصولات متأثر از آنها در لینک زیر قابل دریافت است:
اوراکـل
در روزهای پایانی مهر، شرکت اوراکل (Oracle) مطابق با برنامه زمانبندی شده سهماهه خود، با انتشار مجموعه بهروزرسانیهای موسوم به Critical Patch Update اقدام به ترمیم 387 آسیبپذیری امنیتی در دهها محصول این شرکت از جمله Solaris و Java کرد. سوءاستفاده از برخی از آسیبپذیریهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات کامل در خصوص آنها در نشانی زیر قابل دریافت است:
https://www.oracle.com/security-alerts/cpujul2023.html
مـوزیـلا
در مهر ماه، شرکت موزیلا (Mozilla)، چندین آسیبپذیری را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این ضعفهای امنیتی، “بحرانی” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
گـوگـل
در مهر 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. حداقل یکی از آسیبپذیریهای ترمیمشده در ماهی که گذشت از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی گوگل در حال سوءاستفاده از آن بودهاند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://chromereleases.googleblog.com
ادوبـی
در مهر، شرکت ادوبی (Adobe) اصلاحیههای امنیتی اکتبر 2023 خود را منتشر کرد. اصلاحیههای مذکور، چندین آسیبپذیری امنیتی را در محصولات زیر ترمیم میکنند:
- Adobe Bridge
- Adobe Commerce
- Adobe Photoshop
اطلاعات بیشتر در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
سوءاستفاده از برخی از ضعفهای امنیتی ترمیمشده توسط این اصلاحیهها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیبپذیر ادوبی میکند.
اپـل
شرکت اپل (Apple) در مهر ماه اقدام به وصله چندین آسیبپذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
حداقل یکی از آسیبپذیریهای ترمیمشده در مهر ماه، از “روز-صفر” بوده و از مدتی قبل مورد سوءاستفاده مهاجمان قرار گرفته بوده است.
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در مهر 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2023-20273 Cisco IOS XE Web UI Unspecified Vulnerability
- CVE-2023-4966 Citrix NetScaler ADC and NetScaler Gateway Buffer Overflow Vulnerability
- CVE-2023-20198 Cisco IOS XE Web UI Privilege Escalation Vulnerability
- CVE-2023-21608 Adobe Acrobat and Reader Use-After-Free Vulnerability
- CVE-2023-20109 Cisco IOS and IOS XE Group Encrypted Transport VPN Out-of-Bounds Write Vulnerability
- CVE-2023-41763 Microsoft Skype for Business Privilege Escalation Vulnerability
- CVE-2023-36563 Microsoft WordPad Information Disclosure Vulnerability
- CVE-2023-44487 HTTP/2 Rapid Reset Attack Vulnerability
- CVE-2023-22515 Atlassian Confluence Data Center and Server Broken Access Control Vulnerability
- CVE-2023-40044 Progress WS_FTP Server Deserialization of Untrusted Data Vulnerability
- CVE-2023-42824 Apple iOS and iPadOS Kernel Privilege Escalation Vulnerability
- CVE-2023-42793 JetBrains TeamCity Authentication Bypass Vulnerability
- CVE-2023-28229 Microsoft Windows CNG Key Isolation Service Privilege Escalation Vulnerability
- CVE-2023-4211 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
- CVE-2023-5217 Google Chrome libvpx Heap Buffer Overflow Vulnerability
- CVE-2018-14667 Red Hat JBoss RichFaces Framework Expression Language Injection Vulnerability
- CVE-2023-41991 Apple Multiple Products Improper Certificate Validation Vulnerability
- CVE-2023-41992 Apple Multiple Products Kernel Privilege Escalation Vulnerability
- CVE-2023-41993 Apple Multiple Products WebKit Code Execution Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
همچون همیشه خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.