اصلاحیههای امنیتی در آخرین ماه سالی که گذشت
در اسفند 1402، شرکتهای مایکروسافت، سیسکو، فورتینت، ویامور، سیتریکس، کسپرسکی، گوگل، موزیلا، اپل، اسایپی، کانکتوایز و کیونپ اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
مایکروسافت | سیسکو | فورتینت | ویامور |
سیتریکس | کسپرسکی | گوگل | موزیلا |
اپل | اسایپی | کانکتوایز | کیونیپ |
مـایـکـروسـافـت
22 اسفند، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی مارس 2024 منتشر کرد. اصلاحیههای مذکور، 60 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
مجموعهاصلاحیههای مارس، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
Elevation of Privilege و RCE، به ترتیب با 24 و 18 مورد، بیشترین سهم از آسیبپذیریهای این ماه را به خود اختصاص دادهاند. با این حال، مایکروسافت، فقط 2 ضعف امنیتی این ماه را “بحرانی” (Critical) گزارش کرده است. شدت سایر آسیبپذیریها نیز “زیاد” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “زیاد” برطرف و ترمیم میگردند.
از جمله آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای مایکروسافت میتوان به موارد زیر اشاره کرد:
- CVE-2024-26199 که ضعفی از نوع Elevation of Privilege است و نرمافزار Office از آن متأثر میشود. سوءاستفاده موفق از آسیبپذیری مذکور، امکان ارتقای دسترسی مهاجم به سطح SYSTEM را فراهم میکند.
- CVE-2024-20671، ضعفی از نوع Security Feature Bypass که سوءاستفاده از آن، مانع از اجرای Microsoft Defender بر روی ماشین قربانی میشود. آسیبپذیری مذکور در نسخه 18.24010.12 برطرف شده است.
- CVE-2024-21411، ضعفی از نوع RCE که Skype for Consumer از آن تأثیر میپذیرد. ارسال لینک مخرب یا تصویر حاوی کد Exploit به قربانی در این پیامرسان، از جمله سناریوهای متصور برای سوءاستفاده از این آسیبپذیری محسوب میشود.
فهرست کامل آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای مارس 2024 مایکروسافت در جدول زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2142/
سـیـسـکـو
شرکت سیسکو (Cisco Systems)، در اسفند ماه، 28 آسیبپذیری را که شدت 1 مورد از آنها “بحرانی” و 9 مورد از “بالا” (High) گزارش شده در محصولات مختلف خود ترمیم کرد. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
فورتینت
در دوازدهمین ماه 1402، شرکت فورتینت (Fortinet)، اقدام به ترمیم چهار ضعف امنیتی زیر کرد:
CVE-2023-46717 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-424
CVE-2024-23112 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-24-013
CVE-2023-42789 و CVE-2023-42790 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-23-328
شدت آسیبپذیریهای CVE-2023-42789 و CVE-2023-42790، “بحرانی” گزارش شده است.
ویامور
شرکت ویامور(VMware) در ماهی که گذشت 9 آسیبپذیری زیر را ترمیم کرد:
CVE-2024-22235 در VMware Aria Operations و VMware Cloud Foundation:
https://www.vmware.com/security/advisories/VMSA-2024-0004.html
CVE-2024-22245 و CVE-2024-22250 (با شدت حیاتی) در VMware Enhanced Authentication Plug-in – به اختصار EAP:
https://www.vmware.com/security/advisories/VMSA-2024-0003.html
CVE-2024-22251 در VMware Workstation Pro / Player (Workstation) و VMware Fusion:
https://www.vmware.com/security/advisories/VMSA-2024-0005.html
چهار آسیبپذیری حیاتی (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255) در محصولات VMware ESXi & VMware Workstation Pro / Player (Workstation) & VMware Fusion Pro / Fusion (Fusion) & VMware Cloud Foundation (Cloud Foundation):
https://www.vmware.com/security/advisories/VMSA-2024-0006.html
CVE-2024-22256 در VMware Cloud Director:
https://www.vmware.com/security/advisories/VMSA-2024-0007.html
سوءاستفاده از برخی از ضعفهای امنیتی ترمیمشده، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیبپذیر میکند.
سیتریکس
در سومین ماه زمستان، شرکت سیتریکس (Citrix) اقدام به انتشار توصیهنامه زیر در خصوص آسیبپذیری امنیتی CVE-2024-2049 در Citrix SD-WAN کرد:
https://support.citrix.com/article/CTX617071/citrix-sdwan-security-bulletin-for-cve20242049
کسپرسکی
شرکت کسپرسکی (Kaspersky) از ترمیم یک باگ امنیتی در ابزار kavremover خبر داده است. سوءاستفاده از ضعف امنیتی مذکور، مهاجم را بهنحوی قادر به دستیابی به اطلاعات اصالتسنجی میکند. این آسیبپذیری در نسخه 1.0.4308.0 این نرمافزار برطرف شده است.
این شرکت، 28 اسفند نیز از ترمیم یک آسیبپذیری در Kaspersky Password Manager (KPM) for Windows خبر داد. اکسپلویت این ضعف امنیتی، امکان استخراج اطلاعات اصالتسنجی به اصطلاح Auto-filled را از Dump حافظه در زمان استفاده از افزونه KPM در مرورگر Chrome برای مهاجم ممکن میسازد. آسیبپذیری مذکور در نسخه 24.0.0.427 برطرف شده است.
جزییات بیشتر در لینک زیر، قابل دریافت است:
https://support.kaspersky.com/vulnerability/list-of-advisories/12430
گوگل
در اسفند 1402، شرکت گوگل (Google)، در چند نوبت، اقدام به انتشار نسخه جدید و ترمیم بیش از 20 آسیبپذیری امنیتی در مرورگر Chrome کرد. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://chromereleases.googleblog.com
سوءاستفاده از برخی از ضعفهای امنیتی ترمیمشده توسط این بهروزرسانیها، مهاجم را قادر به در اختیار گرفتن دستگاه حاوی نسخه آسیبپذیر Chrome میکند.
موزیلا
در اسفند ماه، شرکت موزیلا (Mozilla)، در مجموع، بیش از 20 آسیبپذیری را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این ضعفهای امنیتی، “بحرانی” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
اپل
شرکت اپل (Apple) در اسفند ماه اقدام به وصله چندین آسیبپذیری در محصولات مختلف خود نمود که جزییات آنها در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
حداقل دو آسیبپذیری ترمیمشده در ماهی که گذشت از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی اپل در حال سوءاستفاده از آن بودهاند.
اسایپی
شرکت اسایپی (SAP) در آخرین ماه از زمستان 1402، حدود 10 آسیبپذیری امنیتی را در محصولات مختلف ترمیم کرد. جزییات آسیبپذیریهای مذکور در لینک زیر زیر قابل دریافت است:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html
کانکتوایز
1 اسفند، شرکت کانکتوایز (ConnectWise) با انتشار نسخه جدید و توصیهنامه زیر، اقدام به ترمیم CVE-2024-1708 و CVE-2024-1709 در ScreenConnect نمود:
https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
ConnectWise ScreenConnect، یک نرمافزار تجاری دسترسی از راه دور است. در ایران نیز برخی شرکتها از آن برای اتصال از راه دور به مشتریان، در حین ارائه خدمات پشتیبانی بهره میگیرند.
CVE-2024-1709 ضعفی از نوع Authentication Bypass است که بر طبق الگوی CVSS به آن شدت 10 از 10 تخصیص داده شده است. CVE-2024-1708 نیز ضعفی از نوع Path Traversal است که شدت آن 8.4 از 10 گزارش شده است.
از یک روز پس از انتشار توصیهنامه کانتوایز، چندین مورد از سوءاستفاده مهاجمان از آسیبپذیری CVE-2024-1709 گزارش شده است.
کیونپ
19 اسفند، شرکت تایوانی کیونپ (QNAP)، با انتشار توصیهنامه از ترمیم سه آسیبپذیری بحرانی زیر خبر داد:
CVE-2024-21899
CVE-2024-21900
CVE-2024-21901
سوءاستفاده از برخی از ضعفهای امنیتی مذکور، مهاجم را قادر به در اختیار گرفتن سامانه حاوی نسخه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://www.qnap.com/en/security-advisory/qsa-24-09
کیونپ چندین آسیبپذیری با شدت “متوسط” (Medium) را نیز در اسفند ترمیم کرد که جزییات آنها از طریق لینک زیر قابل دریافت است:
https://www.qnap.com/en/security-advisories
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در اسفند 1402، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2024-27198 JetBrains TeamCity Authentication Bypass Vulnerability
- CVE-2024-23225 Apple Multiple Products Memory Corruption Vulnerability
- CVE-2024-23296 Apple Multiple Products Memory Corruption Vulnerability
- CVE-2023-21237 Android Pixel Information Disclosure Vulnerability
- CVE-2021-36380 Sunhillo SureLine OS Command Injection Vulnerablity
- CVE-2024-21338 Microsoft Windows Kernel Exposed IOCTL with Insufficient Access Control Vulnerability
- CVE-2023-29360 Microsoft Streaming Service Untrusted Pointer Dereference Vulnerability
- CVE-2024-1709 ConnectWise ScreenConnect Authentication Bypass Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
همچون همیشه خاطر نشان میگردد وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.