در بهمن 1402، شرکتهای مایکروسافت، سیسکو، ترلیکس، کسپرسکی، فورتینت، ویامور، سیتریکس، گوگل، ادوبی و موزیلا اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
مایکروسافت | سیسکو | ترلیکس | کسپرسکی | فورتینت |
ویامور | سیتریکس | گوگل | ادوبی | موزیلا |
مـایـکـروسـافـت
24 بهمن، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی فوریه 2024 منتشر کرد. اصلاحیههای مذکور، بیش از 70 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
3 آسیبپذیری وصلهشده توسط مایکروسافت از نوع “روز-صفر” (Zero-day) گزارش شده و هر دو از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفتهاند. مایکروسافت، آن دسته از آسیبپذیریها را روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده نفوذگران قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
مجموعهاصلاحیههای فوریه، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
RCE، با 30 مورد، بیشترین سهم از آسیبپذیریهای این ماه را به خود اختصاص داده است. با این حال، مایکروسافت، فقط 5 ضعف امنیتی این ماه را “بحرانی” (Critical) گزارش کرده است. شدت سایر آسیبپذیریها نیز “زیاد” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “زیاد” برطرف و ترمیم میگردند.
فهرست آسیبپذیریهای “روز-صفر” این ماه که هر دو در حال سوءاستفاده توسط مهاجمان هستند به شرح زیر است:
- CVE-2024-21351 که ضعفی از نوع Security Feature Bypass است و Windows SmartScreen از آن متأثر میشود. سوءاستفاده موفق از آسیبپذیری مذکور، امکان عبور از سد سازوکار امنیتی SmartScreen را فراهم میکند.
- CVE-2024-21412 هم که ضعفی از نوع Security Feature Bypass است و قابلیت حفاظتی Mark of the Web – به اختصار MOTW – در Windows از آن تأثیر میپذیرد. MOTW به فایلهای با منشاء اینترنت، برچسبی را جهت ایجاد حساسیت بیشتر درج میکند تا از اجرای امور بالقوه مخرب توسط این نوع فایلهای جلوگیری کرده باشد.
- CVE-2024-21410 که ضعفی از نوع Elevation of Privilege در نرمافزار Microsoft Exchange Server بوده و مهاجم را قادر به ارتقای سطح دسترسی در جریان اجرای حمله به اصطلاح NTLM Relay میکند.
فهرست کامل آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای فوریه 2024 مایکروسافت در جدول زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2131/
سـیـسـکـو
شرکت سیسکو (Cisco Systems)، در بهمن ماه، بیش از 10 آسیبپذیری را که شدت 5 مورد از آنها “بحرانی” گزارش شده در محصولات مختلف خود ترمیم کرد. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
تـرلـیـکـس
9 بهمن 1402، شرکت ترلیکس (Trellix) اقدام به انتشار Hotfix 1 برای نسخههای 7.4.1 و 7.4.2 نرمافزار Drive Encryption کرد. در این Hotfix، باگی در نرمافزار Trellix Drive Encryption که منجر به ظاهر شدن صفحه موسوم آبی مرگ (BSOD) در حین یا بعد از ارتقای Windows بر روی برخی سیستمها میشود برطرف شده است. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://docs.trellix.com/bundle/drive-encryption-v7-4-x-hotfix7421-release-notes
همچنین، ترلیکس، 25 بهمن، بهروزرسانی 13305 را برای Exploit Prevention Content منتشر کرد. در این بهروزرسانی، دو قاعده زیر به فهرست قواعد قابل فعالسازی ماژول Exploit Prevention در نرمافزار Trellix ENS افزوده شده است:
6275 – T1218.007 Fileless Threat: MSIEXEC.EXE Abuse For Proxy Execution Of Possibly Malicious Code
6276 – DLL Sideloading Attempt By Microsoft .NET Framework Optimization Service
6277 – T1218.010 Regsvr32.exe Abuse For Proxy Execution Of Possibly Malicious Code
بر طبق اعلام ترلیکس، بهروزرسانی 13305، قابلیت Generic Privilege Escalation Prevention در Trellix ENS را نیز قادر به پوشش آسیبپذیری CVE-2024-21346 میکند.
این شرکت 19 بهمن هم اقدام به انتشار بهروزرسانی 00307 برای Trellix Endpoint Security Exploit Prevention for Linux نموده بود؛ در بهروزرسانی مذکور، قواعد زیر لحاظ شده است:
50040 – Possible SideCopy Trojan Infection Detected
50041 – Possible DDoS Agent Trojan Infection Detected
50042 – Possible Chaos Trojan Infection Detected
50043 – Possible NKAbuse Trojan Infection Detcted
کـسـپـرسـکی
12 بهمن 1402، شرکت کسپرسکی (Kaspersky) از ترمیم یک باگ امنیتی در محصول Kaspersky Security for Linux Mail Server خبر داد. آسیبپذیری مذکور در نسخه 10 این محصول برطرف شده است.
کسپرسکی، 30 بهمن نیز وجود یک ضعف امنیتی با شناسه CVE-2023-48795 در محصول Kaspersky Anti Targeted Attack – به اختصار KATA – را اعلام کرد. نسخه 6 و نسخههای قبل از آن از این آسیبپذیری متأثر میشوند. کسپرسکی ارتقا به نسخه 6.0.1 Patch A را توصیه کرده است. در صورت فراهم نبودن امکان ارتقا، مطالعه راهنمای فنی زیر به راهبران KATA توصیه میشود:
https://support.kaspersky.com/kata/6.0/troubleshooting/16027
فـورتـینـت
در یازدهمین ماه 1402، شرکت فورتینت (Fortinet)، اقدام به ترمیم چهار ضعف امنیتی زیر کرد.
CVE-2023-44487 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-23-397
CVE-2024-23113 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-24-029
CVE-2023-47537 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-301
CVE-2024-21762 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-24-015
شدت آسیبپذیریهای CVE-2024-23113 و CVE-2024-21762، “بحرانی” گزارش شده است.
ویامور
شرکت ویامور(VMware) در ماهی که گذشت با انتشار بهروزرسانی، پنج آسیبپذیری را در Aria Operations for Networks ترمیم کرد. توصیهنامه ویامور در خصوص این باگهای امنیتی، در لینک زیر قابل دریافت است:
https://www.vmware.com/security/advisories/VMSA-2024-0002.html
سیتریکس
در دومین ماه زمستان، شرکت سیتریکس (Citrix) اقدام به انتشار توصیهنامه زیر در خصوص آسیبپذیری امنیتی CVE-2023-46838 در Citrix Hypervisor کرد:
https://support.citrix.com/article/CTX587605/citrix-hypervisor-security-bulletin-for-cve202346838
گـوگـل
در بهمن 1402، شرکت گوگل (Google)، اقدام به انتشار نسخه جدید و ترمیم بیش از 10 آسیبپذیری امنیتی در مرورگر Chrome کرد. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://chromereleases.googleblog.com
ادوبـی
در بهمن، شرکت ادوبی (Adobe) اصلاحیههای امنیتی فوریه 2024 خود را منتشر کرد. اصلاحیههای مذکور، چندین آسیبپذیری را در 6 نرمافزار ساخت این شرکت – از جمله 13 باگ امنیتی در نرمافزار پراستفاده Adobe Acrobat and Reader – ترمیم میکنند. اطلاعات بیشتر در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
سوءاستفاده از برخی از ضعفهای امنیتی ترمیمشده توسط این اصلاحیهها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیبپذیر ادوبی میکند.
مـوزیـلا
در بهمن ماه، شرکت موزیلا (Mozilla)، چندین آسیبپذیری را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این ضعفهای امنیتی، “بحرانی” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در بهمن 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2020-3259 Cisco ASA and FTD Information Disclosure Vulnerability
- CVE-2024-21410 Microsoft Exchange Server Privilege Escalation Vulnerability
- CVE-2024-21412 Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability
- CVE-2024-21351 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability
- CVE-2023-43770 Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability
- CVE-2024-21762 Fortinet FortiOS Out-of-Bound Write Vulnerability
- CVE-2023-4762 Google Chromium V8 Type Confusion Vulnerability
- CVE-2022-48618 Apple Multiple Products Improper Authentication Vulnerability
- CVE-2024-21893 Ivanti Connect Secure, Policy Secure, and Neurons Server-Side Request Forgery (SSRF) Vulnerability
- CVE-2023-22527 Atlassian Confluence Data Center and Server Template Injection Vulnerability
- CVE-2024-23222 Apple Multiple Products Type Confusion Vulnerability
- CVE-2023-34048 VMware vCenter Server Out-of-Bounds Write Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
همچون همیشه خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.