اصلاحیه‌های امنیتی مرداد 1403

در مرداد 1403، شرکت‌های مایکروسافت، سیسکو، فورتی‌نت، بیت‌دیفندر، سولارویندز، گوگل، موزیلا و اس‌ای‌پی اقدام به عرضه به‌روزرسانی برای ترمیم آسیب‌پذیری‌های امنیتی در برخی محصولات خود کردند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

مایکروسافت

23 مرداد، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آگوست 2024 منتشر کرد. اصلاحیه‌های مذکور، حدود 90 آسیب‌پذیری را که 9 مورد از آنها “روز-صفر” گزارش شده در محصولات مختلف این شرکت ترمیم می‌کنند. نکته قابل توجه این که حداقل 6 مورد از این آسیب‌پذیری‌های “روز-صفر” از مدتی پیش موردسوءاستفاده مهاجمان قرار گرفته‌اند.

مجموعه‌اصلاحیه‌های ماه آگوست، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

• Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
• Elevation of Privilege (افزایش سطح دسترسی)
• Information Disclosure (افشای اطلاعات)
• Denial of Service – به اختصار DoS (منع سرویس)
• Security Feature Bypass (دور زدن سازوکارهای امنیتی)
• Spoofing (جعل)

Elevation of Privilege و RCE، به‌ترتیب با 36 و 28 مورد، بیشترین سهم از انواع آسیب‌پذیری‌های این ماه را به خود اختصاص داده‌‌اند.

9 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع “روز-صفر” (Zero-day) اعلام شده است. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.

از مجموع 9 آسیب‌پذیری روز-صفر این ماه مایکروسافت، 6 مورد زیر از مدتی پیش توسط مهاجمان اکسپلویت شده‌اند:

• CVE-2024-38178؛ یک ضعف Memory Corruption در Scripting Engine مرورگرهای Edge و Internet Explorer که سوءاستفاده موفق از آن منجر به فراهم شدن امکان اجرای از راه دور کد برای مهاجم می‌شود.
• CVE-2024-38193؛ ضعفی از نوع Elevation of Privilege در Windows Ancillary Function Driver for WinSock است که اکسپلویت موفق آن، دسترسی مهاجم را تا سطح SYSTEM ارتقا می‌بخشد.
• CVE-2024-38213؛ ضعفی است که قابلیت Mark of the Web در سیستم‌عامل Windows از آن متأثر می‌شود. بهره‌جویی مهاجم از این آسیب‌پذیری مهاجم را قادر بی‌اثر کردن سازوکار امنیتی مذکور می‌کند.
• CVE-2024-38106؛ ضعفی از نوع Elevation of Privilege در سیستم‌عامل Windows که سوءاستفاده از آن، امکان ارتقای دسترسی مهاجم تا سطح SYSTEM را فراهم می‌کند.
• CVE-2024-38107؛ دیگر آسیب‌پذیری Elevation of Privilege ترمیم‌شده در این ماه است که Power Dependency Coordinator در Windows از آن تأثیر می‌پذیرد. اکپسلویت موفق این ضعف امنیتی نیز منجر به ترفیع دسترسی به سطح SYSTEM می‌گردد.
• CVE-2024-38189؛ ضعفی از نوع RCE در نرم‌افزار Microsoft Project است. با این حال، سوءاستفاده موفق از آن مستلزم اجرای فایل مخرب توسط قربانی بر روی سیستمی است که در آن قابلیت Block macros from running in Office files from the Internet غیرفعال بوده و تنظیمات VBA Macro Notification Settings نیز در حالت هشداردهی مناسب قرار ندارد.

همچنین، جزییات سه ضعف امنیتی روز-صفر زیر از مدتی پیش به‌صورت عمومی افشا شده است:

• CVE-2024-38199؛ ضعفی از نوع RCE است که سرویس Windows Line Printer Daemon از آن متأثر می‌شود. مهاجم بدون نیاز به اصالت‌سنجی می‌تواند با ارسال یک فرمان دستکاری‌شده چاپ به سرویس آسیب‌پذیر به‌اشتراک‌گذاشته‌شده در سطح شبکه، اقدام به اجرای کد دلخواه بر روی سیستم‌عامل کند.
• CVE-2024-21302؛ ضعفی از نوع Elevation of Privilege در Windows Secure Kernel Mode است که اکسپلویت موفق آن مهاجم را قادر به نصب به‌روزرسانی مخرب می‌کند.
• CVE-2024-38200؛ ضعفی از نوع Spoofing در نرم‌افزار Microsoft Office است. باز کردن یک فایل مخرب حاوی اکسپلویت این آسیب‌پذیری، امکان سرقت هش‌های NTLM را برای مهاجم ممکن می‌کند.

فهرست کامل آسیب‌پذیری‌های ترمیم‌شده توسط مجموعه‌اصلاحیه‌های آگوست 2024 مایکروسافت در جدول زیر قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2168/

سیسکو

شرکت سیسکو (Cisco Systems)، در مرداد ماه، 16 آسیب‌پذیری را که شدت 6 مورد از آنها، “بحرانی” گزارش شده در محصولات مختلف خود ترمیم کرد. سوءاستفاده از برخی از ضعف‌های امنیتی مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. اطلاعات بیشتر در خصوص به‌روزرسانی‌ها و اصلاحیه‌های سیسکو در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

فورتی‌نت

در پنجمین ماه 1403، شرکت فورتی‌نت (Fortinet)، اقدام به ترمیم 3 ضعف امنیتی زیر کرد:

CVE-2024-36505 در FortiOS:

https://www.fortiguard.com/psirt/FG-IR-24-012

CVE-2024-21757 در FortiManager / FortiAnalyzer

https://www.fortiguard.com/psirt/FG-IR-23-467

CVE-2022-45862 در FortiOS, FortiProxy, FortiPAM & FortiSwitchManager GUI:

https://www.fortiguard.com/psirt/FG-IR-22-445

بیت دیفندر

در چهارمین ماه از سال 1403، شرکت بیت‌دیفندر (Bitdefender)، از وجود یک آسیب‌پذیری با شناسه CVE-2024-6980 در GravityZone خبر داد. سوءاستفاده از CVE-2024-6980، مهاجم را قادر به جعل درخواست از سوی سرور می‌کند. بیت‌دیفندر آسیب‌پذیری مذکور را در نسخه 6.38.1-5 این محصول ترمیم کرده است. جزییات بیشتر در لینک زیر:

https://www.bitdefender.com/support/security-advisories/verbose-error-handling-in-gravityzone-update-server-proxy-service/

سولارویندز

شرکت سولارویندز (SolarWinds) نیز در مرداد ماه، اقدام به انتشار توصیه‌نامه در خصوص دو آسیب‌پذیری “بحرانی” در SolarWinds Web Help Desk کرد:

CVE-2024-28986:

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28986

CVE-2024-28987:

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28987

گوگل

در دومین ماه از تابستان 1403، شرکت گوگل (Google) در چندین نوبت اقدام به انتشار نسخه جدید نمود. نسخه‌های جدید در مجموع 65 آسیب‌پذیری را در این مرورگر ترمیم می‌کنند. به گفته گوگل، مهاجمان در حال سوءاستفاده از حداقل یکی از این آسیب‌پذیری‌ها با شناسه CVE-2024-7971 هستند. آخرین نسخه ارائه‌شده Chrome در مرداد ماه 128.0.6613.84/.85 است. جزییات بیشتر در لینک‌های زیر قابل دریافت است:

https://chromereleases.googleblog.com/2024/07/stable-channel-update-for-desktop_23.html

https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html

موزیلا

در مرداد ماه، شرکت موزیلا (Mozilla)، مجموعا، ده‌ها ضعف امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگ‌های امنیتی، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

اس‌ای‌پی

شرکت اس‌ای‌پی (SAP)، 23 مرداد، 17 توصیه‌نامه امنیتی در خصوص محصولات مختلف خود منتشر کرد. جزییات آسیب‌پذیری‌های اشاره‌شده در این توصیه‌نامه‌ها در لینک زیر زیر قابل دریافت است:

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در مرداد 1403، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:

CVE-2021-31196                 Microsoft Exchange Server Information Disclosure Vulnerability

CVE-2022-0185   Linux Kernel Heap-Based Buffer Overflow

CVE-2021-33045                 Dahua IP Camera Authentication Bypass Vulnerability

CVE-2021-33044                 Dahua IP Camera Authentication Bypass Vulnerability

CVE-2024-23897                 Jenkins Command Line Interface (CLI) Path Traversal Vulnerability

CVE-2024-28986                 SolarWinds Web Help Desk Deserialization of Untrusted Data Vulnerability

CVE-2024-38107                 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability

CVE-2024-38106                 Microsoft Windows Kernel Privilege Escalation Vulnerability

CVE-2024-38193                 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability

CVE-2024-38213                 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability

CVE-2024-38178                 Microsoft Windows Scripting Engine Memory Corruption Vulnerability

CVE-2024-38189                 Microsoft Project Remote Code Execution Vulnerability

CVE-2024-32113                 Apache OFBiz Path Traversal Vulnerability

CVE-2024-36971                 Android Kernel Remote Code Execution Vulnerability

CVE-2018-0824   Microsoft COM for Windows Deserialization of Untrusted Data Vulnerability

CVE-2024-37085                 VMware ESXi Authentication Bypass Vulnerability

CVE-2023-45249                 Acronis Cyber Infrastructure (ACI) Insecure Default Password Vulnerability

CVE-2024-5217   ServiceNow Incomplete List of Disallowed Inputs Vulnerability

CVE-2024-4879   ServiceNow Improper Input Validation Vulnerability

CVE-2024-39891                 Twilio Authy Information Disclosure Vulnerability

CVE-2012-4792   Microsoft Internet Explorer Use-After-Free Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانه‌های کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:

https://www.cisa.gov/news-events/cybersecurity-advisories?f%5B0%5D=advisory_type%3A95&f%5B1%5D=advisory_type%3A96&f%5B2%5D=advisory_type%3A97&search_api_fulltext=&sort_by=field_release_date