اصلاحیه‌های امنیتی، در آخرین ماه از پاییز 1402

در آذر 1402، شرکت‌های مایکروسافت، سیسکو، ترلیکس، بیت‌دیفندر، فورتی‌نت، وی‌ام‌ور، موزیلا، گوگل، ادوبی و اپل اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

مـایـکـروسـافـت

21 آذر 1402، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی دسامبر 2023 منتشر کرد. اصلاحیه‌های مذکور، بیش از 30 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

مجموعه‌اصلاحیه‌های دسامبر، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

• Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
• Elevation of Privilege (افزایش سطح دسترسی)
• Information Disclosure (افشای اطلاعات)
• Denial of Service – به اختصار DoS (منع سرویس)
• Security Feature Bypass (دور زدن سازوکارهای امنیتی)
• Spoofing (جعل)

Elevation of Privilege، با 10 مورد، بیشترین سهم از آسیب‌پذیری‌های این ماه را به خود اختصاص داده است.

در حالی که 8 مورد از آسیب‌پذیری‌های وصله‌شده نیز در دسته RCE قرار گرفته‌اند اما مایکروسافت، در کل، فقط 4 ضعف امنیتی این ماه را “بحرانی” (Critical) گزارش کرده است.

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “زیاد” (Important) برطرف و ترمیم می‌گردند.

CVE-2023-35630 و CVE-2023-35641، از جمله آسیب‌پذیری‌های “بحرانی” این ماه هستند. سرویس Internet Connection Sharing – به اختصار ICS –، در نسخه‌های خاصی از Windows از این دو ضعف امنیتی متأثر می‌شوند. مهاجم می‌تواند با دست‌درازی به فیلد length در پیام ورودی DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST، از این ضعف، سوءاستفاده کند.

یک آسیب‌پذیری وصله‌شده این ماه نیز از نوع “روز-صفر” اعلام شده است. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد. تنها، آسیب‌پذیری روز-صفر این ماه که به آن شناسه CVE-2023-20588 تخصیص داده شده، ضعفی است که از وجود یک باگ در پردازشگرهای AMD ناشی می‌شود. با این توضیح که از افشای آسیب‌پذیری مذکور، بیش از 4 ماه می‌گذرد.

از دیگر آسیب‌پذیری‌های قابل‌توجه این ماه، می‌توان به CVE-2023-35628 اشاره کرد که ضعفی از نوع RCE در Windows MSHTML Platform است. از بستر MSHTML، در مرورگرهای مختلف نظیر Edge و به طور کلی برنامه‌های تحت وبی که از کنترل WebBrowser بهره می‌گیرند استفاده می‌شود. نکته قابل توجه این که مهاجم می‌تواند تنها با ارسال یک ایمیل حاوی Exploit آسیب‌پذیری مذکور، موجب اجرای کد مخرب در زمان دریافت و پردازش ایمیل توسط Outlook شود. این بدان معناست که مهاجم برای سوءاستفاده از CVE-2023-35628، وابسته به باز شدن ایمیل توسط قربانی و یا حتی نمایش آن در پنجره Preview Pane نرم‌افزار Outlook نخواهد بود.

CVE-2023-35636 نیز یکی دیگر از آسیب‌پذیری‌های حائز اهمیت این ماه است. CVE-2023-35636 ضعفی از نوع Information Disclosure در Outlook است که سوءاستفاده از آن می‌تواند منجر به افشای هش‌های NTLM شود. مهاجم می‌تواند در ادامه کار، از هش‌های NTLM سرقت‌شده در حملاتی همچون Pass-the-Hash سوءاستفاده کند.

سـیـسـکـو

شرکت سیسکو (Cisco Systems)، در آذر ماه، 3 آسیب‌پذیری را که شدت یکی از آنها “بحرانی” گزارش شده در محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از آسیب‌‌پذیری بحرانی مذکور که به آن شناسه CVE-2023-50164 تخصیص داده شده، در شرایطی خاص، امکان اجرای کد دلخواه مهاجم را به‌صورت از راه دور فراهم می‌کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

تـرلـیـکـس

در آخرین ماه پاییز 1402، شرکت ترلیکس (Trellix) اقدام به انتشار نسخه‌های زیر کرد:

Trellix Endpoint Security for Linux 10.7.17:

https://docs.trellix.com/bundle/endpoint-security-10.7.17-threat-prevention-release-notes-linux

Trellix Data Loss Prevention Endpoint for Windows 11.10 Update 2 (11.10.200):

https://docs.trellix.com/bundle/data-loss-prevention-endpoint-windows-11.10.x-release-notes

Trellix Data Loss Prevention Extension 11.10 Update 12 (11.10.201):

https://docs.trellix.com/bundle/data-loss-prevention-11.10.4-higher-release-notes

Trellix Application and Change Control 6.6.1:

https://docs.trellix.com/bundle/trellix-application-change-control-6.6.x-release-notes-linux

Trellix Endpoint Detection and Response 4.2 for macOS:

https://docs.trellix.com/bundle/mvision-endpoint-detection-and-response-4.2.x-on-premises-release-notes

Trellix Exploit Prevention Content 13229:

https://www.trellix.com/assets/release-notes/mep-release-notes-windows.pdf

Trellix Threat Intelligence Exchange and ATP Rule Content Update

1798:

https://www.trellix.com/assets/release-notes/tie-release-notes.pdf

بـیـت‌دیـفـنـدر

در اواخر آذر ماه، شرکت بیت‌دیفندر (Bitdefender)، نسخه 2-6.35.1 سرویس‌دهنده GravityZone Control Center را منتشر کرد.

در نسخه جدید، باگی در نسخه قبلی (۱-۶.۳۵.۱) که در مواردی موجب بروز اختلال در فرایند به‌‌روزرسانی نقاط پایانی غیرمتصل به اینترنت می‌شد برطرف شده است. جزییات بیشتر در خصوص نسخ جدید GravityZone Control Center در لینک زیر قابل مطالعه است:

https://www.bitdefender.com/business/support/en/77212-78207-gravityzone-control-center.html

فـورتـی‌نـت

در نهمین ماه 1402، شرکت فورتی‌نت (Fortinet) اقدام به ترمیم 3 آسیب‌پذیری امنیتی زیر در محصولات خود کرد:

CVE-2023-41678 با شدت “زیاد” در FortiOS و FortiPAM

https://www.fortiguard.com/psirt/FG-IR-23-196

CVE-2023-47536 با شدت “کم” در FortiOS و FortiProxy

https://www.fortiguard.com/psirt/FG-IR-23-432

CVE-2023-36639 با شدت “زیاد” در FortiOS و FortiProxy و همچنین FortiPAM

https://www.fortiguard.com/psirt/FG-IR-23-138

مهاجم با سوءاستفاده از برخی از آسیب‌پذیری‌های مذکور، قادر به در اختیار گرفتن سامانه آسیب‌پذیر خواهد بود.

وی‌ام‌ور

شرکت وی‌ام‌ور(VMware)  در ماهی که گذشت با انتشار توصیه‌نامه،‌ ضعفی از نوع Privilege Escalation با شدت “متوسط” (Moderate) با شناسه CVE-2023-34064 را در VCD Appliance ترمیم کرد. توصیه‌نامه مذکور، در لینک زیر قابل دریافت است:

https://www.vmware.com/security/advisories/VMSA-2023-0027.html

مـوزیـلا

در آذر ماه، شرکت موزیلا (Mozilla)، چندین آسیب‌پذیری را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این ضعف‌های امنیتی، “زیاد” گزارش شده است. اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

گـوگـل

در آذر 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. حداقل یکی از آسیب‌پذیری‌های ترمیم‌شده در ماهی که گذشت از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی گوگل در حال سوءاستفاده از آن بوده‌اند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://chromereleases.googleblog.com

ادوبـی

در آذر، شرکت ادوبی (Adobe) اصلاحیه‌های امنیتی دسامبر 2023 خود را منتشر کرد. اصلاحیه‌های مذکور، چندین آسیب‌پذیری امنیتی را در 10 نرم‌افزار ساخت این شرکت ترمیم می‌کنند. اطلاعات بیشتر در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

سوءاستفاده از برخی از ضعف‌های امنیتی ترمیم‌شده توسط این اصلاحیه‌ها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیب‌پذیر ادوبی می‌کند.

اپـل

شرکت اپل (Apple) در آذر ماه اقدام به وصله چندین آسیب‌پذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:

https://support.apple.com/en-us/HT201222

حداقل دو آسیب‌پذیری ترمیم‌شده در ماهی که گذشت از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی اپل در حال سوءاستفاده از آن بوده‌اند.

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در آذر 1402، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

• CVE-2023-49897 FXC AE1021, AE1021PE OS Command Injection Vulnerability
• CVE-2023-47565 QNAP VioStor NVR OS Command Injection Vulnerability
• CVE-2023-6448 Unitronics Vision PLC and HMI Insecure Default Password Vulnerability
• CVE-2023-41266 Qlik Sense Path Traversal Vulnerability
• CVE-2023-41265 Qlik Sense HTTP Tunneling Vulnerability
• CVE-2023-33107 Qualcomm Multiple Chipsets Integer Overflow Vulnerability
• CVE-2023-33106 Qualcomm Multiple Chipsets Use of Out-of-Range Pointer Offset Vulnerability
• CVE-2023-33063 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
• CVE-2022-22071 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
• CVE-2023-42917 Apple Multiple Products WebKit Memory Corruption Vulnerability
• CVE-2023-42916 Apple Multiple Products WebKit Out-of-Bounds Read Vulnerability
• CVE-2023-6345 Google Skia Integer Overflow Vulnerability
• CVE-2023-49103 ownCloud graphapi Information Disclosure Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانه‌های کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:

https://www.cisa.gov/news-events/cybersecurity-advisories?f%5B0%5D=advisory_type%3A95&f%5B1%5D=advisory_type%3A96&f%5B2%5D=advisory_type%3A97&search_api_fulltext=&sort_by=field_release_date

همچون همیشه خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.