در دی 1402، شرکتهای مایکروسافت، سیسکو، ترلیکس، فورتینت، جونیپر نتورکز، ویامور، سیتریکس و گوگل اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
مایکروسافت | سیسکو | ترلیکس | فورتینت |
جونیپر نتورکز | ویامور | سیتریکس | گوگل |
مـایـکـروسـافـت
19 دی 1402، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژانویه 2024 منتشر کرد. اصلاحیههای مذکور، حدود 50 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند.
مجموعهاصلاحیههای ژانویه، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
RCE، با 12 مورد، بیشترین سهم از آسیبپذیریهای این ماه را به خود اختصاص داده است. با این حال، مایکروسافت، فقط 2 ضعف امنیتی این ماه را “بحرانی” (Critical) گزارش کرده است. شدت سایر آسیبپذیریها نیز “زیاد” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “زیاد” برطرف و ترمیم میگردند.
هیچ یک از آسیبپذیریهای وصلهشده این ماه نیز از نوع “روز-صفر” (Zero-day) اعلام نشده است. مایکروسافت، آن دسته از آسیبپذیریها را روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
38 مورد از مجموع 48 آسیبپذیری این ماه در سیستم عامل Windows گزارش شدهاند. سایر آسیبپذیریها نیز محصولات زیر را متأثر میکنند:
- .NET با 5 مورد
- Visual Studio با 4 مورد
- Azure با 2 مورد
- Microsoft Identity Model / NuGet با 1 مورد
- Microsoft Printer Metadata Troubleshooter Tool با 1 مورد
- Office با 1 مورد
- SharePoint با 1 مورد
- SQL Server با 1 مورد
فهرست آسیبپذیریهای “بحرانی” این ماه به شرح زیر است:
- CVE-2024-20674 که ضعفی از نوع Security Feature Bypass است و Windows Kerberos از آن متأثر میشود.
- CVE-2024-20700 هم که ضعفی از نوع RCE است و Windows Hyper-V از آن تأثیر میپذیرد.
فهرست کامل آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای ژانویه 2024 مایکروسافت در لینک زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2122/
سـیـسـکـو
شرکت سیسکو (Cisco Systems)، در دی ماه، 12 آسیبپذیری را که شدت یکی از آنها “بحرانی” گزارش شده در محصولات مختلف خود ترمیم کرد. آسیبپذیری بحرانی مذکور که به آن شناسه CVE-2024-20272 تخصیص داده شده، Cisco Unity Connection را متأثر میکند. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
تـرلـیـکـس
19 و 20 دیماه 1402، شرکت ترلیکس (Trellix)، نسخه جدید نرمافزارهای Agent و Application Control را به همراه چند بهروزرسانی دیگر منتشر کرد.
Trellix Agent
5.8.1، جدیدترین نگارش نرمافزار Trellix Agent است که 19 دیماه توسط ترلیکس عرضه شد. ارتقای افزونههای OpenSSL و LibCurl و پشتیبانی از Amazon Linux 2023 و نسخههای 8.8 و 9.1 نرمافزار Rocky Linux، از جمله بهروزرسانیهای اعمالشده در Trellix Agent 5.8.1 است. نکته قابل توجه، ترمیم چند آسیبپذیری متأثر از بسته Curl و پودمان OpenSSL و همچنین ضعفی با شناسه CVE-2024-0213 در Trellix Agent است. لذا، ارتقای این نرمافزار به نسخه 5.8.1 به تمامی راهبران، توصیه میشود. اطلاعات بیشتر در لینک زیر قابل دریافت است:
https://docs.trellix.com/bundle/trellix-agent-5.8.x-release-notes
Trellix Application Control
Trellix Application Control 8.4.0، دیگر، نسخه جدید عرضهشده در 19 دی بود. بهبود امکانات پیکربندی و فراهم شدن قابلیت دریافت بهروزرسانیهای Windows حتی در حالت موسوم به Enable Mode از جمله ویژگیهای Trellix Application Control 8.4.0 است. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://docs.trellix.com/bundle/trellix-application-change-control-8.4.x-release-notes-windows
Trellix Anti-Malware Scan Engine
شرکت ترلیکس، 19 دی، Engine 6700 را نیز بهصورت عمومی منتشر کرد. Trellix Anti-Malware Scan Engine که از آن با عنوان Engine یاد میشود هسته اجرایی بخش ضدبدافزار محصولات امنیتی ترلیکس است و با بهرهگیری از فناوریهای پیشرفته و منحصربهفرد خود، کدهای بالقوه مخرب را شناسایی کرده و سیستم را از گزند انواع بدافزارها ایمن نگاه میدارد. افزایش قابلیتهای شناسایی و بهبود کارایی، و ترمیم ضعفی با شناسه اصلیترین موارد لحاظشده در نسخه 6700 است. در حال حاضر، نگارش نهایی Engine 6700 برای نصب دستی قابل استفاده است. از اواسط بهمن ماه نیز نسخه جدید بهصورت خودکار توسط بخش بهروزرسانی محصولات سازمانی ترلیکس دریافت و نصب خواهد شد. جزییات کامل در مورد Engine 6700 در لینک زیر قابل دسترس است:
https://kcm.trellix.com/corporate/index?page=content&id=KB92669
Exploit Prevention Content
همچنین، ترلیکس، 20 دی، بهروزرسانی 13259 را برای Exploit Prevention Content منتشر کرد. در این بهروزرسانی، دو قاعده زیر به فهرست قواعد قابل فعالسازی ماژول Exploit Prevention در نرمافزار Trellix ENS افزوده شده است:
- 6273 – Windows Error Reporting Service Elevation of Privilege
- 6274 – T1218.011 Fileless Threat: Rundll32.exe abuse for proxy execution of possibly malicious code
بر طبق اعلام ترلیکس، بهروزرسانی مذکور، قابلیت Generic Privilege Escalation Prevention در Trellix ENS را نیز قادر به پوشش آسیبپذیری CVE-2024-20683 میکند.
فـورتـینـت
در دهمین ماه 1402، شرکت فورتینت (Fortinet)، اقدام به ترمیم یک ضعف امنیتی با شناسه CVE-2023-44250 در FortiOS و FortiProxy کرد. ارسال درخواستهای دستکاریشده HTTP یا HTTPS به سامانه آسیبپذیر، مهاجم را قادر به اعمال دستدرازی به تنظیمات رابط کاربری تحت وب آن خواهد کرد. اطلاعات بیشتر در لینک زیر:
https://www.fortiguard.com/psirt/FG-IR-23-315
جـونـیپـر نـتورکـز
در دی ماه، شرکت جونیپر نتورکز (Juniper Networks)، با انتشار 30 توصیهنامه، از ترمیم دهها آسیبپذیری امنیتی در محصولات خود خبر داد. توصیهنامههای مذکور در اینجا قابل مطالعه هستند.
ویامور
شرکت ویامور(VMware) در ماهی که گذشت با انتشار بهروزرسانی، ضعفی با شناسه CVE-2023-34063 را در VMware Aria Automation و VMware Cloud Foundation ترمیم کرد. شدت حساسیت این آسیبپذیری، 9.9 از 10 (بر اساس استاندارد CVSSV3) گزارش شده است. توصیهنامه مذکور، در لینک زیر قابل دریافت است:
https://www.vmware.com/security/advisories/VMSA-2024-0001.html
لازم به ذکر است در دی ماه، ویامور اعلام کرد مهاجمان در حال سوءاستفاده از ضعفی با شناسه CVE-2023-34048 در VMware vCenter Server هستند که این شرکت اصلاحیه آن را در اکتبر سال میلادی گذشته منتشر کرده بود. مطالعه مقاله فنی زیر به تمامی راهبران توصیه اکید میشود:
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
سیتریکس
در اولین ماه زمستان، شرکت سیتریکس (Citrix) اقدام به انتشار توصیهنامههای زیر در خصوص 4 آسیبپذیری امنیتی در محصولات خود کرد:
NetScaler ADC & NetScaler Gateway (CVE-2023-6548 & CVE-2023-6549):
Citrix StoreFront (CVE-2023-5914):
https://support.citrix.com/article/CTX583759/citrix-storefront-security-bulletin-for-cve20235914
Citrix Session Recording (CVE-2023-6184):
گـوگـل
در دی 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. حداقل یکی از آسیبپذیریهای ترمیمشده (CVE-2024-0519) از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی گوگل در حال سوءاستفاده از آن بودهاند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://chromereleases.googleblog.com
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در دی 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2023-35082 Ivanti Endpoint Manager Mobile (EPMM) and MobileIron Core Authentication Bypass Vulnerability
- CVE-2024-0519 Google Chromium V8 Out-of-Bounds Memory Access Vulnerability
- CVE-2023-6549 Citrix NetScaler ADC and NetScaler Gateway Buffer Overflow Vulnerability
- CVE-2023-6548 Citrix NetScaler ADC and NetScaler Gateway Code Injection Vulnerability
- CVE-2018-15133 Laravel Deserialization of Untrusted Data Vulnerability
- CVE-2023-29357 Microsoft SharePoint Server Privilege Escalation Vulnerability
- CVE-2023-46805 Ivanti Connect Secure and Policy Secure Authentication Bypass Vulnerability
- CVE-2024-21887 Ivanti Connect Secure and Policy Secure Command Injection Vulnerability
- CVE-2023-23752 Joomla! Improper Access Control Vulnerability
- CVE-2016-20017 D-Link DSL-2750B Devices Command Injection Vulnerability
- CVE-2023-41990 Apple Multiple Products Code Execution Vulnerability
- CVE-2023-27524 Apache Superset Insecure Default Initialization of Resource Vulnerability
- CVE-2023-29300 Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
- CVE-2023-38203 Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
- CVE-2023-7101 Spreadsheet::ParseExcel Remote Code Execution Vulnerability
- CVE-2023-7024 Google Chromium WebRTC Heap Buffer Overflow Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
همچون همیشه خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.