اصلاحیههای امنیتی آبان 1403
در آبان 1403، شرکتهای مایکروسافت، سیسکو، فورتینت، سیتریکس، گوگل، موزیلا و اسایپی اقدام به عرضه بهروزرسانی برای ترمیم آسیبپذیریهای امنیتی در برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
| مایکروسافت | سیسکو | فورتینت | سیتریکس |
| گوگل | موزیلا | اسایپی |
مایکروسافت
22 آبان، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی نوامبر 2024 منتشر کرد. اصلاحیههای مذکور، 91 آسیبپذیری را که 4 مورد از آنها، “روز-صفر” گزارش شده در محصولات مختلف این شرکت ترمیم میکنند.
نکته قابل توجه این که حداقل 2 مورد از این آسیبپذیریهای روز-صفر از مدتی پیش موردسوءاستفاده مهاجمان قرار گرفتهاند. مایکروسافت، آن دسته از آسیبپذیریها را روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
مجموعهاصلاحیههای ماه نوامبر، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
RCE و Elevation of Privilege، به ترتیب با 52 و 26 مورد، بیشترین سهم از انواع آسیبپذیریهای این ماه را به خود اختصاص دادهاند.
3 مورد از آسیبپذیریهای این ماه، “بحرانی” (Critical) گزارش شده است. شدت 85 آسیبپذیری نیز “زیاد” (Important) اعلام شده است. در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “زیاد” برطرف و ترمیم میگردند.
فهرست دو آسیبپذیری روز-صفر این ماه که از مدتی پیش توسط مهاجمان اکسپلویت شدهاند به شرح زیر است:
- CVE-2024-43451 – ضعفی از نوع Spoofing که سوءاستفاده از آن، مهاجم با دسترسی از راه دور را قادر به دستیابی به هشهای NTLM میکند. این دستیابی میتواند در نهایت منجر به فراهم شدن دسترسی مهاجم به سامانه شود.
- CVE-2024-49039 – ضعفی از نوع Elevation of Privilege که Task Scheduler در Windows از آن متأثر میشود. اکسپلویت این آسیبپذیری، امکان ارتقای سطح دسترسی و اجرای فرامین RPC را برای مهاجم فراهم میکند.
جزییات 2 آسیبپذیری زیر نیز اگر چه بهصورت عمومی افشا شده اما موردی دال بر سوءاستفاده مهاجمان از آنها گزارش نشده است:
- CVE-2024-49040 – ضعفی از نوع Spoofing در Microsoft Exchange که مهاجم را قادر به جعل نشانی ایمیل فرستنده در ایمیلهای ارسالی به دریافتکنندگان محلی میکند. آسیبپذیری مذکور در نتیجه باگی در پیادهسازی فرایند تصدیق سرآیند P2 FROM ناشی شده است. با اعمال اصلاحیه امنیتی این ماه، در متن ایمیلهای جعلی تشخیص داده شده توسط مایکروسافت هشداری با متن زیر درج میشود:
Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method.
- CVE-2024-49019 – ضعفی از نوع Elevation of Privilege که Active Directory Certificate Services از آن تأثیر میپذیرد. اکسپلویت آن در نتیجه سوءاستفاده از الگوهای پیشفرض version 1 certificate سطح دسترسی مهاجم را به Domain Admin ترفیع میدهد. گواهینامههای ساختهشده با استفاده از یک به اصطلاح version 1 certificate template که Source of subject name آنها بر روی Supplied in the request تنظیم شده در صورتی که در ایجاد آنها از این بهروشها پیروی نشده باشد بالقوه آسیبپذیر خواهند بود.
فهرست کامل آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای نوامبر 2024 مایکروسافت در جدول زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2186/
سیسکو
شرکت سیسکو (Cisco Systems)، در آبان ماه، حدود 70 آسیبپذیری را که شدت 4 مورد از آنها، “بحرانی” و 22 مورد “بالا” (High)، گزارش شده در محصولات مختلف خود ترمیم کرد. سوءاستفاده از برخی از ضعفهای امنیتی مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
فورتینت
در هشتمین ماه 1403، شرکت فورتینت (Fortinet)، اقدام به ترمیم 14 ضعف امنیتی در محصولات خود کرد. شدت یکی از آسیبپذیریهای مذکور (با شناسه CVE-2024-47575) “حیاتی” و 3 مورد دیگر، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر قابل مطالعه است:
https://www.fortiguard.com/psirt
سیتریکس
در دومین ماه از پاییز 1403، شرکت سیتریکس (Citrix)، دو آسیبپذیری با شناسههای CVE-2024-8534 و CVE-2024-8535 را در NetScaler ADC و NetScaler Gateway ترمیم کرد که جزییات آنها در لینک زیر قابل دریافت است:
گوگل
در ماهی که گذشت، شرکت گوگل (Google)، در چندین نوبت اقدام به انتشار نسخ جدید برای مرورگر خود، یعنی Chrome نمود. نسخههای جدید تعداد قابلتوجهی آسیبپذیری امنیتی را برطرف کردهاند. 131.0.6778.86، آخرین نسخه از این مرورگر است که 29 آبان منتشر شد. جزییات آسیبپذیریهای ترمیمشده در لینک زیر قابل دریافت است:
https://chromereleases.googleblog.com/
موزیلا
در آبان، شرکت موزیلا (Mozilla)، چندین ضعف امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگهای امنیتی، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
اسایپی
شرکت اسایپی (SAP) هم در آبان، نزدیک به 10 آسیبپذیری امنیتی را در محصولات مختلف ترمیم کرد. جزییات آسیبپذیریهای مذکور در لینک زیر زیر قابل دریافت است:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2024.html
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در آبان 1403، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-2024-38813 VMware vCenter Server Privilege Escalation Vulnerability
CVE-2024-38812 VMware vCenter Server Heap-Based Buffer Overflow Vulnerability
CVE-2024-9474 Palo Alto Networks PAN-OS Management Interface OS Command Injection Vulnerability
CVE-2024-0012 Palo Alto Networks PAN-OS Management Interface Authentication Bypass Vulnerability
CVE-2024-1212 Progress Kemp LoadMaster OS Command Injection Vulnerability
CVE-2024-9465 Palo Alto Networks Expedition SQL Injection Vulnerability
CVE-2024-9463 Palo Alto Networks Expedition OS Command Injection Vulnerability
CVE-2021-26086 Atlassian Jira Server and Data Center Path Traversal Vulnerability
CVE-2014-2120 Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) Vulnerability
CVE-2021-41277 Metabase GeoJSON API Local File Inclusion Vulnerability
CVE-2024-43451 Microsoft Windows NTLMv2 Hash Disclosure Spoofing Vulnerability
CVE-2024-49039 Microsoft Windows Task Scheduler Privilege Escalation Vulnerability
CVE-2019-16278 Nostromo nhttpd Directory Traversal Vulnerability
CVE-2024-51567 CyberPanel Incorrect Default Permissions Vulnerability
CVE-2024-43093 Android Framework Privilege Escalation Vulnerability
CVE-2024-5910 Palo Alto Networks Expedition Missing Authentication Vulnerability
CVE-2024-8956 PTZOptics PT30X-SDI/NDI Cameras Authentication Bypass Vulnerability
CVE-2024-8957 PTZOptics PT30X-SDI/NDI Cameras OS Command Injection Vulnerability
CVE-2024-37383 RoundCube Webmail Cross-Site Scripting (XSS) Vulnerability
CVE-2024-20481 Cisco ASA and FTD Denial-of-Service Vulnerability
CVE-2024-47575 Fortinet FortiManager Missing Authentication Vulnerability
CVE-2024-38094 Microsoft SharePoint Deserialization Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
