در اردیبهشت 1403، شرکتهای مایکروسافت، سیسکو، فورتینت، ویامور، سیتریکس، ترلیکس، بیتدیفندر، گوگل، موزیلا و اسایپی اقدام به عرضه بهروزرسانی برای ترمیم آسیبپذیریهای امنیتی در برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
| مایکروسافت | سیسکو | فورتینت | ویامور | سیتریکس |
| ترلیکس | بیتدیفندر | گوگل | موزیلا | اسایپی |
مـایـکـروسـافـت
25 اردیبهشت، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی می 2024 منتشر کرد. اصلاحیههای مذکور، بیش از 60 آسیبپذیری را که سه مورد از آنها روز-صفر گزارش شده در محصولات مختلف این شرکت ترمیم میکنند.
مجموعهاصلاحیههای ماه می، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
RCE و Elevation of Privilege، به ترتیب با 27 و 17 مورد، بیشترین سهم از انواع آسیبپذیریهای این ماه را به خود اختصاص دادهاند.
حداقل 3 مورد از آسیبپذیریهای وصلهشده، از نوع “روز-صفر” (Zero-day) اعلام شده است. دو مورد از این سه باگ امنیتی نیز از مدتی پیش، مورد سوءاستفاده مهاجمان قرار گرفتهاند. فهرست این دو آسیبپذیری در حال اکسپلویت بهشرح زیر است:
- CVE-2024-30040 که ضعفی از نوع Security Feature Bypass است و سوءاستفاده از آن، مهاجم را قادر به بیاثر کردن سازوکار امنیتی OLE Mitigations در نرمافزار Office و در ادامه، اجرای کد موردنظر او بر روی سیستم قربانی میکند. ارسال یک فایل Office حاوی کد Exploit آسیبپذیری مذکور از طریق ایمیل یا پیامرسانهای فوری و تشویق کاربر به اجرای آن از جمله سناریوهای متصور برای بهرهجویی از CVE-2024-30040 است.
- CVE-2024-30051 که ضعفی از نوع Elevation of Privilege بوده و Windows DWM Core Library از آن متأثر میشود. سوءاستفاده موفق از این آسیبپذیری، مهاجم را قادر به ارتقای دسترسی خود بر روی سیستم قربانی تا سطح SYSTEM میکند. به گفته برخی منابع، گردانندگان بدافزار Qakbot در حال اکسپلویت CVE-2024-30051 در جریان کارزارهای فیشینگ خود هستند.
CVE-2024-30046 نیز سومین آسیبپذیری روز-صفر این ماه است که از نوع Denial of Service بوده و Microsoft Visual Studio از آن متأثر میشود. علیرغم افشا عمومی جزییات آن، سوءاستفاده از این ضعف امنیتی، حداقل بهصورت عمومی گزارش نشده است.
لازم به ذکر است، مایکروسافت، باگی که بر اثر نصب مجموعهاصلاحیههای ماه قبل (آوریل) موجب افزایش ترافیک NTLM بر روی سرورهای Domain Controller میشد را نیز برطرف کرده است.
سـیـسـکـو
شرکت سیسکو (Cisco Systems)، در اردیبهشت ماه، 20 آسیبپذیری را که شدت 11 مورد از آنها، “بالا” (High) گزارش شده در محصولات مختلف خود ترمیم کرد. سوءاستفاده از برخی از ضعفهای امنیتی مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
فورتینت
در دومین ماه 1403، شرکت فورتینت (Fortinet)، اقدام به ترمیم 6 ضعف امنیتی زیر کرد:
CVE-2023-45586 در FortiOS و FortiProxy:
https://www.fortiguard.com/psirt/FG-IR-23-225
CVE-2024-26007 در FortiOS
https://www.fortiguard.com/psirt/FG-IR-24-017
CVE-2023-36640 و CVE-2023-45583 در FortiOS, FortiProxy, FortiPAM & FortiSwitchManager
https://www.fortiguard.com/psirt/FG-IR-23-137
CVE-2023-44247 در FortiOS
https://www.fortiguard.com/psirt/FG-IR-23-195
CVE-2023-46714 در FortiOS:
https://www.fortiguard.com/psirt/FG-IR-23-415
ویامور
شرکت ویامور (VMware) در ماهی که گذشت، چهار آسیبپذیری امنیتی را در محصولات زیر وصله کرد:
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion
فهرست آسیبپذیریهای مذکور، به شرح زیر است:
- CVE-2024-22267 با شدت “بحرانی”
- CVE-2024-22268 با شدت “مهم”
- CVE-2024-22269 با شدت “مهم”
- CVE-2024-22270 با شدت “مهم”
جزییات بیشتر در لینک زیر:
سیتریکس
شرکت سیتریکس (Citrix) با انتشار توصیهنامه زیر از وجود یک آسیبپذیری امنیتی به شناسه CVE-2024-31497 در ابزار Putty که برخی نسخههای XenCenter حاوی آن هستند خبر داده است. سوءاستفاده از آسیبپذیری مذکور میتواند منجر به سرقت کلید خصوصی در ارتباطات مبتنی بر SSH شود. جزییات بیشتر در توصیهنامه زیر قابل مطالعه است:
https://support.citrix.com/article/CTX633416/citrix-hypervisor-security-update-for-cve202431497
ترلیکس
در ماهی که گذشت، شرکت ترلیکس (Trellix)، بهروزرسانی May 2024 Update را برای Endpoint Security (ENS) 10.7.0 منتشر کرد. در این نسخه، علاوه بر مرتفع شدن چندین باگ، بهبودهایی نیز در فناوریهای AMSI لحاظ شده است. توضیحات کامل در خصوص نسخه مذکور، در لینک زیر ارائه شده است:
https://docs.trellix.com/bundle/trellix-endpoint-security-10.7.x-release-notes
همچنین، 25 اردیبهشت، شرکت ترلیکس، بهروزرسانی ماهانه موسوم به Kernel Update را برای Trellix Endpoint Security (ENS) for Linux 10.7.17 منتشر کرد. در این بهروزرسانی، هستههای جدید Linux به فهرست هستههای قابل پشتیبانی توسط Endpoint Security افزوده شده است؛ جزییات بیشتر در لینک زیر قابل مطالعه است:
https://docs.trellix.com/bundle/endpoint-security-10.7.17-threat-prevention-release-notes-linux
این شرکت، 26 اردیبهشت نیز نسخه 13401 را برای ماژول Exploit Prevention در نرمافزار Trellix Endpoint Security منتشر نمود. در نسخه مذکور، سه قاعده زیر افزوده شده است:
- Signature 6282: ConnectWise ScreenConnect Path-Traversal
- Signature 6283: Malware Behavior: Pikabot Malware Activity Detected
- Signature 6284: Possible SAM DataBase Access Using Esentutl
راهبران توجه داشتند باشند که قواعد مذکور، بهصورت پیشفرض غیرفعال میباشند. فعالسازی پس از پایلوت آنها بر روی نقاط پایانی غیرعملیاتی توصیه میشود. جزییات بیشتر در لینک زیر قابل دریافت است:
https://www.trellix.com/assets/release-notes/mep-release-notes-windows.pdf
بیت دیفندر
در دومین ماه از سال 1403، شرکت بیتدیفندر (Bitdefender)، اقدام به انتشار نسخه 6.38.1-2 نسخه On-premise سامانه GravityZone Control Center کرد که بر اساس لینک زیر، چند باگ امنیتی در آن ترمیم شده است:
https://www.bitdefender.com/business/support/en/77212-78207-gravityzone-control-center.html
همچنین، این شرکت، توصیهنامههای زیر را در خصوص وصله دو آسیبپذیری به شناسههای CVE-2024-2223 و CVE-2024-2224 در سرویس GravityZone Update Server نموده است:
گوگل
شرکت گوگل (Google)، با انتشار چند بهروزرسانی اضطراری در اردیبهشت ماه، سه آسیبپذیری روز-صفر افشاشده زیر را در مرورگر Chrome ترمیم کرد.
- CVE-2024-4947، باگی از نوع Type Confusion است که پویشگر Chrome V8 JavaScript از آن متأثر میشود. بهطور کلی، آسیبپذیریهای Type Confusion زمانی رخ میدهند که برنامه یک منبع، شئی (Object) یا متغیر را با استفاده از یک نوع خاص مقداردهی میکند و سپس با استفاده از نوع متفاوت و ناسازگار به آنها دسترسی پیدا میکند و در عمل بستر را برای دسترسی خارج از محدوده مجاز به حافظه فراهم مینماید. با چنین دسترسیهای غیرمجاز به حافظه، مهاجم میتواند اطلاعات حساس برنامههای دیگر را بخواند، باعث خرابی شود یا اقدام به اجرای کد دلخواه خود کند.
- CVE-2024-4671، باگی از نوع Use After Free است و بخش Visuals که وظیفه آن، نمایانسازی (Rendering) و نمایش محتوا در مرورگر است از آن متأثر میشود.
- CVE-2024-4761 نیز ضعفی از نوع Out-of-Bounds Write است که پویشگر Chrome V8 JavaScript از آن تأثیر میپذیرد.
اکسپلویت موفق هر کدام از آسیبپذیریهای مذکور، مهاجم را قادر به سرقت دادههای بالقوه حساس، اجرای کد یا از کاراندازی برنامه خواهد کرد.
توصیهنامههای گوگل در لینکهای زیر قابل مطالعه است:
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html
با توجه به در حال اکسپلویت بودن این سه باگ امنیتی به تمامی کاربران Chrome توصیه اکید میشود که از بهروز بودن مرورگر Chrome خود اطمینان حاصل کنند.
موزیلا
در اردیبهشت ماه، شرکت موزیلا (Mozilla)، چندین ضعف امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگهای امنیتی، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
اسایپی
شرکت اسایپی (SAP) در دومین ماه از بهار 1403، بیش از 10 آسیبپذیری امنیتی را در محصولات مختلف ترمیم کرد. جزییات آسیبپذیریهای مذکور در لینک زیر زیر قابل دریافت است:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در اردیبهشت 1403، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
- CVE-2024-4947 Google Chromium V8 Type Confusion Vulnerability
- CVE-2023-43208 NextGen Healthcare Mirth Connect Deserialization of Untrusted Data Vulnerability
- CVE-2024-4761 Google Chromium V8 Out-of-Bounds Memory Write Vulnerability
- CVE-2021-40655 D-Link DIR-605 Router Information Disclosure Vulnerability
- CVE-2014-100005D-Link DIR-600 Router Cross-Site Request Forgery (CSRF) Vulnerability
- CVE-2024-30040 Microsoft Windows MSHTML Platform Security Feature Bypass Vulnerability
- CVE-2024-30051 Microsoft DWM Core Library Privilege Escalation Vulnerability
- CVE-2024-4671 Google Chromium Visuals Use-After-Free Vulnerability
- CVE-2023-7028 GitLab Community and Enterprise Editions Improper Access Control Vulnerability
- CVE-2024-29988 Microsoft SmartScreen Prompt Security Feature Bypass Vulnerability
- CVE-2024-4040 CrushFTP VFS Sandbox Escape Vulnerability
- CVE-2024-20359 Cisco ASA and FTD Privilege Escalation Vulnerability
- CVE-2024-20353 Cisco ASA and FTD Denial of Service Vulnerability
- CVE-2022-38028 Microsoft Windows Print Spooler Privilege Escalation Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است: