در آبان 1402، شرکتهای مایکروسافت، سیسکو، ترلیکس، بیتدیفندر، فورتینت، ویامور، سیتریکس، موزیلا، گوگل، ادوبی و اپل اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
این بخش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
| مایکروسافت | سیسکو | ترلیکس | بیت دیفندر |
| فورتی نت | ویامور | سیتریکس | موزیلا |
| گوگل | ادوبی | اپل |
مـایـکـروسـافـت
23 آبان 1402، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی نوامبر 2023 منتشر کرد. اصلاحیههای مذکور، حدود 60 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
5 آسیبپذیری وصلهشده توسط مایکروسافت از نوع “روز-صفر” گزارش شدهاند. مایکروسافت، آن دسته از آسیبپذیریها را روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
مجموعهاصلاحیههای نوامبر، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
فهرست آسیبپذیریهای روز-صفر این ماه که از مدتی پیش موردسوءاستفاده قرار گرفتهاند به شرح زیر است:
- CVE-2023-36036 – ضعفی از نوع Elevation of Privilege است که Windows Cloud Files Mini Filter از آن متأثر میشود. سوءاستفاده موفق از CVE-2023-36036، مهاجم را قادر به دستیابی به سطح دسترسی SYSTEM میکند. مایکروسافت، بهرهجویی (Exploit) از آسیبپذیری مذکور توسط مهاجمان را تایید کرده است.
- CVE-2023-36033 – دیگر ضعف روز-صفر از نوع Elevation of Privilege این ماه است. Windows DWM Core Library از این آسیبپذیری که توسط مهاجمان در حال سوءاستفاده است تأثیر میپذیرد. بکارگیری موفق این آسیبپذیری، سطح دسترسی SYSTEM را برای مهاجم فراهم میکند.
- CVE-2023-36025 – ضعفی از نوع Security Feature Bypass در قابلیت SmartScreen سیستم عامل Windows است. آسیبپذیری مذکور، این امکان را فراهم میکند میانبرهای اینترنتی (Internet Shortcut) مخرب، بدون بررسی شدن توسط SmartScreen، قابل اجرا باشند. مواردی از سوءاستفاده مهاجمان از CVE-2023-36025 به شرکت مایکروسافت گزارش شده است.
CVE-2023-36413 و CVE-2023-36038 دیگر آسیبپذیریهای روز-صفر این ماه هستند که علیرغم افشای عمومی جزییات آنها، موردی مبنی بر سوءاستفاده مهاجمان از آنها، اعلام نشده است. CVE-2023-36413، ضعفی از نوع Security Feature Bypass در نرمافزار Microsoft Office و CVE-2023-36038، ضعفی از نوع Denial of Service در ASP.NET Core است.
سـیـسـکـو
شرکت سیسکو (Cisco Systems) در آبان ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، دهها آسیبپذیری را که شدت 8 مورد از آنها “بحرانی” گزارش شده در محصولات مختلف این شرکت ترمیم میکنند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
تـرلـیـکـس
شرکت ترلیکس (Trellix)، بهروزرسانی Update2 را برای نسخه 5.10.0SP1 نرمافزار ePolicy Orchestrator – به اختصار ePO – منتشر کرد.
در این نسخه، علاوه بر افزوده شدن چندین قابلیت جدید و اعمال برخی بهبودها، باگهای گزارششده اصلاح و برطرف شده است. ترمیم دو آسیبپذیری به شناسههای CVE-2023-5444 و CVE-2023-5445 و ارتقای Java Runtime Environment و Tomcat به ترتیب به نسخههای 1.8.0_381 و 9.0.82 از جمله اصلاحات امنیتی لحاظشده در Update2 میباشد که جزییات آنها در توصیهنامه امنیتی زیر قابل مطالعه است:
https://kcm.trellix.com/corporate/index?page=content&id=SB10410
اطلاعات بیشتر در خصوص بهروزرسانی جدید ePO نیز در لینک زیر قابل دریافت است:
https://docs.trellix.com/bundle/trellix-epolicy-orchestrator-on-prem-5.10.0-release-notes
همچنین، ترلیکس، در ماهی که گذشت، نسخههای زیر را نیز منتشر کرد:
Threat Intelligence Exchange 4.5.0:
https://docs.trellix.com/bundle/threat-intelligence-exchange-4.5.x-release-notes
Data Exchange Layer 6.0.4
بـیـتدیـفـنـدر
در ماهی که گذشت شرکت بیتدیفندر (Bitdefender) اقدام به انتشار نسخههای زیر کرد:
GravityZone Control Center 6.45.0-1:
https://www.bitdefender.com/business/support/en/77211-78199-gravityzone-control-center.html
Endpoint Security Tools for Windows 7.9.8.346:
https://www.bitdefender.com/business/support/en/77211-77540-windows-agent.html
Bitdefender Endpoint Security Tools for Linux 7.0.3.2322:
https://www.bitdefender.com/business/support/en/77211-77513-linux-agent.html
Endpoint Security Tools for Mac 7.14.36.200051:
https://www.bitdefender.com/business/support/en/77211-78218-macos-agent.html
در نسخههای مذکور، علاوه بر افزوده شدن قابلیتهای جدید، باگها و اشکالاتی نیز مرتفع شده است.
فـورتـینـت
در هشتمین ماه 1402، شرکت فورتینت (Fortinet) اقدام به ترمیم 4 آسیبپذیری امنیتی زیر در محصولات خود کرد:
CVE-2023-38545 و CVE-2023-38546 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-385
CVE-2023-28002 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-22-396
CVE-2023-36641 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-23-151
مهاجم با سوءاستفاده از برخی از آسیبپذیریهای مذکور، قادر به در اختیار گرفتن سامانه آسیبپذیر خواهد بود.
ویامور
شرکت ویامور(VMware) در ماهی که گذشت با انتشار یک توصیهنامه، ضعفی “بحرانی” با شناسه CVE-2023-34060 را در Cloud Director Appliance ترمیم کرد. توصیهنامه مذکور، در لینک زیر قابل دریافت است:
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
سـیـتـریـکـس
شرکت سیتریکس (Citrix)، در آبان 1402، از ترمیم دو آسیبپذیری به شناسههای CVE-2023-4966 و CVE-2023-4967 در NetScaler ADC و NetScaler Gateway و همچنین دو ضعف امنیتی به شناسههای CVE-2023-23583 و CVE-2023-46835 در Citrix Hypervisor و XenServer خبر داد. جزییات این آسیبپذیریها و محصولات متأثر از آنها در لینکهای زیر قابل دریافت است:
مـوزیـلا
در آبان ماه، شرکت موزیلا (Mozilla)، چندین آسیبپذیری را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این ضعفهای امنیتی، “بحرانی” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
گـوگـل
در آبان 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. حداقل یکی از آسیبپذیریهای ترمیمشده در ماهی که گذشت از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی گوگل در حال سوءاستفاده از آن بودهاند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://chromereleases.googleblog.com
ادوبـی
در آبان، شرکت ادوبی (Adobe) اصلاحیههای امنیتی نوامبر 2023 خود را منتشر کرد. اصلاحیههای مذکور، چندین آسیبپذیری امنیتی را در بیش از 10 نرمافزار ساخت این شرکت از جمله Adobe Acrobat and Reader ترمیم میکنند. اطلاعات بیشتر در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
سوءاستفاده از برخی از ضعفهای امنیتی ترمیمشده توسط این اصلاحیهها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیبپذیر ادوبی میکند.
اپـل
شرکت اپل (Apple) در آبان ماه اقدام به وصله چندین آسیبپذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در آبان 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2023-4911 GNU C Library Buffer Overflow Vulnerability
- CVE-2023-36584 Microsoft Windows Mark of the Web (MOTW) Security Feature Bypass Vulnerability
- CVE-2023-1671 Sophos Web Appliance Command Injection Vulnerability
- CVE-2020-2551 Oracle Fusion Middleware Unspecified Vulnerability
- CVE-2023-36033 Microsoft Windows Desktop Window Manager (DWM) Core Library Privilege Escalation Vulnerability
- CVE-2023-36025 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability
- CVE-2023-36036 Microsoft Windows Cloud Files Mini Filter Driver Privilege Escalation Vulnerability
- CVE-2023-47246 SysAid Server Path Traversal Vulnerability
- CVE-2023-36844 Juniper Junos OS EX Series PHP External Variable Modification Vulnerability
- CVE-2023-36845 Juniper Junos OS EX Series and SRX Series PHP External Variable Modification Vulnerability
- CVE-2023-36846 Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability
- CVE-2023-36847 Juniper Junos OS EX Series Missing Authentication for Critical Function Vulnerability
- CVE-2023-36851 Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability
- CVE-2023-29552 Service Location Protocol (SLP) Denial-of-Service Vulnerability
- CVE-2023-22518 Atlassian Confluence Data Center and Server Improper Authorization Vulnerability
- CVE-2023-46604 Apache ActiveMQ Deserialization of Untrusted Data Vulnerability
- CVE-2023-46748 F5 BIG-IP Configuration Utility SQL Injection Vulnerability
- CVE-2023-46747 F5 BIG-IP Configuration Utility Authentication Bypass Vulnerability
- CVE-2023-5631 Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability
- CVE-2023-20273 Cisco IOS XE Web UI Command Injection Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
همچون همیشه خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.