اصلاحیه‌های امنیتی در اولین ماه از سال 1402

در فروردین 1402 شرکت‌های زیر اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

مایکروسافت

فورتی‌نت

موزیلا

جونیپر ‌نت‌ورکز

سیسکو

وی‌ام‌ور

گوکل

اوراکل

ترلیکس

ادوبی

دروپال

سامبا

سوفوس

اپل

اپن‌اس‌اس‌ال

 

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهمیت‌ترین اصلاحیه‌های مذکور پرداخته شده است.

مایـکـروسـافت

در ماهی که گذشت، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آوریل منتشر کرد. اصلاحیه‌های مذکور حدود 100 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 7 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

  • «افزایش سطح دسترسی» (Elevation of Privilege)
  • «اجرای کد از راه دور» (Remote Code Execution)
  • «افشای اطلاعات» (Information Disclosure)
  • «منع سرویس» (Denial of Service – به اختصار DoS)
  • «دور زدن مکانیزم‌های امنیتی» (Security Feature Bypass)
  • «جعل» (Spoofing)

یک مورد از آسیب‌پذیری‌های ترمیم شده این ماه (با شناسه‌های CVE-2023-28252)، از نوع «روز-صفر» می‌باشند که به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته ‌است. این آسیب‌پذیری روز-صفر دارای درجه اهمیت «زیاد» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Windows Common Log System File Driver – به اختصار Windows CLFS – تاثیر می‌گذارد. مهاجمی که موفق به سوءاستفاده از این آسیب‌پذیری می‌شود، می‌تواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. این ضعف امنیتی توسط شرکت کسپرسکی (Kaspersky) در حملات باج‌‌افزار Nokoyawa شناسایی و به مایکروسافت گزارش شد. جزئیات سوءاستفاده از این آسیب‌پذیری در حملات باج‌افزار Nokoyawa در نشانی زیر قابل مطالعه می‌باشد:

https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/

7 مورد از آسیب‌پذیری‌های ترمیم شده ماه آوریل 2023 نیز دارای درجه اهمیت «بحرانی» می‌باشند؛ تمامی آسیب‌پذیری‌های «بحرانی» ترمیم شده در این ماه از نوع «اجرای کد از راه دور» می‌باشند که در ادامه به جزئیات برخی از آنها پرداخته شده است:

  • CVE-2023-21554: این ضعف امنیتی سازوکار Queuing را درMicrosoft Message تحت تاثیر قرار می‌دهد. مایکروسافت احتمال سوءاستفاده از این آسیب‌پذیری را «زیاد» اعلام نموده است. برای سوءاستفاده از این آسیب پذیری، مهاجم باید Packet دستکاری شده MSMQ را به سرور MSMQ ارسال کند که منجر به اجرای کد مخرب از راه دور در سمت سرور می‌شود. کاربرانی که می‌خواهند بررسی کنند که آیا هدف سوءاستفاده از این آسیب‌پذیری قرار گرفته‌اند، می‌توانند ببینید آیا سرویس Message Queuing در سیستم آنها فعال است و یا آیا ترافیک شبکه از طریق  پورت TCP 1801 در حال شنود می‌باشد.
  • CVE-2023-28219 و CVE-2023-28220: این دو مورد از آسیب‌پذیری‌های‌ «بحرانی» ترمیم شده در ماه آوریل 2023 بر Windows Layer 2 Tunneling Protocol تاثیر می‌گذارد. سوءاستفاده از این دو آسیب‌پذیری‌ نیازی به تعامل کاربر ندارند؛ از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن می‌باشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده می‌تواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور RAS آسیب‌پذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید. با توجه به توضیحات شرکت مایکروسافت، لازم است که راهبران توجه ویژه‌ای به وصله فوری این آسیب‌پذیری‌ها نمایند.
  • CVE-2023-28231: این آسیب‌پذیری بر روی سرویس DHCP تاثیر می‌گذارد. مایکروسافت احتمال سوءاستفاده از این ضعف‌امنیتی «بحرانی» را «زیاد» اعلام نموده است. یک مهاجم احراز هویت شده می‌تواند با فراخوانی یک RPC دستکاری شده در سرویس DHCP از این آسیب‌پذیری سوءاستفاده کند. سوءاستفاده موفق از این ضعف امنیتی مستلزم آن است که مهاجم قبل از اجرای حمله ابتدا به شبکه دسترسی پیدا کند.
  • CVE-2023-28250: این آسیب‌پذیری بر Windows Pragmatic General Multicast – به اختصار PGM – تاثیر می‌گذارد. بکارگیری یک فایل دستکاری شده از طریق شبکه از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری و اجرای کد مخرب از راه دور محسوب می‌شود. البته سرویس MSMQ باید فعال باشد. کاربرانی که می‌خواهند بررسی کنند که آیا هدف سوءاستفاده از این آسیب‌پذیری قرار گرفته‌اند، می‌توانند ببینید آیا سرویس Message Queuing در سیستم آنها فعال است و یا آیا ترافیک شبکه از طریق پورت TCP 1801 در حال شنود می‌باشد.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های آوریل 2023 مایکروسافت در گزارش زیر قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2415

 

 سـیـسـکو

شرکت سیسکو (Cisco Systems) در فروردین ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این به‌روز‌رسانی‌ها، بیش از 50 آسیب‌پذیری را که درجه اهیمت برخی از آنها «بحرانی» و «بالا» (High) گزارش شده در محصولات مختلف این شرکت ترمیم می‌کنند. آسیب‌پذیری‌هایی همچون «منع سرویس»، «اجرای کد از راه دور»، «تزریق فرمان» (Command Injection)، «تزریق کد از طریق سایت» (Cross Site Scripting)، «افزایش سطح دسترسی» و «افشای اطلاعات» از جمله مهمترین اشکالات مرتفع شده توسط به‌روزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

 

 تـرلـیـکـس

در ماهی که گذشت شرکت ترلیکس (Trellix)، نسخه 5.7.9 نرم‌افزار Agent را منتشر کرد. در این نسخه، باگ‌های شناخته‌شده Trellix Agent برطرف و اصلاح شده که جزییات آنها در لینک زیر قابل مطالعه است:

https://docs.trellix.com/bundle/trellix-agent-5.7.x-release-notes/page/GUID-C4B6563B-332B-4AE8-B191-B0191A8C1159.html

لازم به ذکر است در نسخه 5.7.9، دو آسیب‌پذیری به شناسه‌های CVE-2023-0975 و CVE-2023-0977 ترمیم شده که توضیحات بیشتر در خصوص آنها در لینک زیر قابل دریافت است:

https://kcm.trellix.com/corporate/index?page=content&id=SB10396

همچنین در فرودرین، ترلیکس، اقدام به انتشار نسخه جدید برای محصول Threat Intelligence Exchange کرد. TIE، بخشی از اکوسیستم EDR راهکارهای امنیتی ترلیکس است که وظیفه آن تبادل اطلاعات درباره تهدیدات و فراهم نمودن دیدی گسترده و کنترلی جامع در خصوص فایل‌های اجرا شده بر روی نقاط پایانی سازمان است. در نسخه جدید، علاوه بر برطرف شدن چند اشکال و باگ، بهبودهایی از جمله پشتیبانی از SNMP و پیکربندی آن در درون TIE لحاظ شده است. OpenSSL مورد استفاده در Trellix TIE نیز ارتقا یافته است.

ضمن آن که در این نسخه، یک آسیب‌پذیری با شناسه CVE-2023-22809 ترمیم شده است. CVE-2023-22809 ضعفی با شدت «زیاد» در sudo است که توزیع‌های Linux و ثابت‌افزارهای مبتنی بر این سیستم عامل از آن متأثر می‌شوند.

جزییات بیشتر در خصوص نسخه جدید Trellix TIE از طریق لینک زیر قابل دریافت و مطالعه است:

https://docs.trellix.com/bundle/threat-intelligence-exchange-v4-0-x-hotfix2-release-notes/resource/prod-threat-intelligence-exchange-v4-0-x-cat-release-notes.pdf

 

سـوفــوس

در ماهی که گذشت شرکت سوفوس (Sophos) با انتشار نسخه 4.3.10.4 اقدام به ترمیم سه آسیب‌پذیری در Sophos Web Appliance کرد. درجه اهمیت یکی از این آسیب‌پذیری‌ها با شناسه CVE-2023-1671 «بحرانی» گزارش شده است. توضیحات بیشتر در لینک زیر:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20230404-swa-rce

 

فـورتـی‌نـت

در ماهی که گذشت شرکت فورتی‌نت (Fortinet) با انتشار چندین توصیه‌نامه‌‌ از ترمیم بیش از 20 ضعف امنیتی در محصولات این شرکت خبر داد. جزییات بیشتر در خصوص ضعف‌های امنیتی مذکور در لینک زیر قابل مطالعه است:

https://www.fortiguard.com/psirt

 

وی‌ام‌ور

31 فروردین، شرکت وی‌ام‌ور (VMware) از ترمیم دو آسیب‌پذیری «بحرانی» در VMware Aria Operations for Logs (یا vRealize Log Insight سابق) خبر داد. توصیه‌نامه وی‌ام‌ور در لینک زیر قابل دریافت است:

https://www.vmware.com/security/advisories/VMSA-2023-0007.html

 

 ادوبــی

شرکت ادوبی (Adobe) مجموعه اصلاحیه‌های امنیتی آوریل 2023 را منتشر کرد. اصلاحیه‌های مذکور، در مجموع 56 آسیب‌پذیری را در 6 محصول زیر ترمیم می‌کنند که 49 مورد از آنها دارای درجه اهمیت «بحرانی» می‌باشند:

تعداد آسیب‌پذیری ترمیم شده این ماه ادوبی برای Adobe Acrobat and Reader برابر با 16 مورد بوده است. اهمیت 14 مورد از ضعف‌های امنیتی مذکور «بحرانی» و 2 مورد «زیاد» اعلام شده است. آسیب‌پذیری‌های «بحرانی» مذکور می‌توانند منجر به «اجرای کد» (Arbitrary code execution) و «دور زدن مکانیزم‌های امنیتی» (Security feature bypass) شوند. در حالی که سوءاستفاده از ضعف‎های امنیتی «زیاد» ترمیم شده در Adobe Acrobat and Reader می‌توانند منجر به «نشت حافظه» (Memory Leak) و «افزایش سطح دسترسی» (Privilege Escalation) شوند.

با نصب به‌روزرسانی ماه آوریل 2023، نسخه نگارش‌های جاری نرم‌افزارهای Acrobat DC و Acrobat Reader DC به 23.001.20143، نگارش‌های ۲۰۲۰ به 20.005.30467 تغییر خواهد کرد.

اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه آوریل 2023 ادوبی در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

 

 اپــل

در فروردین ماه، شرکت اپل (Apple) با انتشار به‌روزرسانی، ضعف‌های امنیتی متعددی را در چندین محصول خود ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. جزییات به‌روزرسانی‌های ارائه‌شده از سوی اپل در لینک زیر قابل مطالعه است:

https://support.apple.com/en-us/HT201222

 

مـوزیـلا

در فروردین ماه، شرکت موزیلا (Mozilla) با ارائه به‌روزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. این اصلاحیه‌ها، بیش از 20 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت حدود از نیمی از این آسیب‌پذیری‌ها، «بالا» گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

 

 گـوگـل

شرکت گوگل (Google) در فروردین ماه در چندین نوبت اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 29 فروردین انتشار یافت، نسخه 112.0.5615.138 است. دو مورد از آسیب‌پذیری‌های وصله شده توسط گوگل، ضعف‌هایی با شناسه CVE-2023-2033 و CVE-2023-2136 هستند که به گفته این شرکت، از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفته‌اند.

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html

 

دروپـال

در فروردین 1402، جامعه دروپال (Drupal Community) با عرضه به‌روزرسانی‌های‌ امنیتی، چند آسیب‌پذیری را در Drupal ترمیم کرد. توضیحات کامل در خصوص این به‌روزرسانی‌ها‌ و توصیه‌نامه‌های‌ منتشر شده در نشانی‌ زیر در دسترس می‌باشد:

https://www.drupal.org/security

 

اپن‌اس‌اس‌ال

در فروردین 1402، بنیاد نرم‌افزاری اپن-اس‌اس‌ال (OpenSSL Software Foundation) با عرضه به‌روزرسانی‌های‌ امنیتی، ضعف‌های‌ امنیتی متعددی را در نسخه‌های 3.0، 3/1، 1.1.1 و 1.0.2 نرم‌افزار OpenSSL ترمیم نموده است. سوءاستفاده از بعضی از این آسیب‌پذیری‌ها مهاجم را قادر به اجرای حملاتی نظیر «منع سرویس» می‌‌کند. توضیحات کامل در این خصوص در نشانی‌ زیر قابل دسترس است:

https://www.openssl.org/news/newslog.html

لازم به ذکر است این بنیاد، 20 شهریور 1402 را تاریخ از رده خارج شدن (End of Life) نسخه 1.1.1 پلتفرم OpenSSL اعلام کرده است.

https://www.openssl.org/blog/blog/2023/03/28/1.1.1-EOL/

 

جـونـیـپـر نـت‌ورکـز

جونیپر نت‌ورکز (Juniper Networks) هم در فروردین ماه با ارائه به‌روزرسانی چندین ضعف امنیتی را در محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعف‌های مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

 

 اوراکـل

در روزهای پایانی فروردین، شرکت اوراکل (Oracle) مطابق با برنامه زمانبندی شده سه‌ماهه خود، با انتشار مجموعه ‌به‌روزرسانی‌های موسوم به Critical Patch Update اقدام به ترمیم بیش از 400 آسیب‌پذیری امنیتی در ده‌ها محصول ساخت این شرکت کرد. سوءاستفاده از برخی از آسیب‌پذیری‌های مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. جزییات کامل در خصوص آنها در نشانی‌ زیر قابل دریافت است:

https://www.oracle.com/security-alerts/cpuapr2023.html

 

 سـامـبـا

گروه سامبا (Samba Team) با عرضه به‌روزرسانی، سه ضعف امنیتی با شناسه‌‌های CVE-2023-0225 ،CVE-2023-0922 و CVE-2023-0614 را در نسخ مختلف نرم‌افزار کدباز Samba برطرف کرد. سوءاستفاده از این ضعف ترمیم شده در اختیار گرفتن کنترل سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند. فهرست آسیب‌پذیری‌های رفع شده در نشانی‌های زیر قابل مطالعه می‌باشد:

https://www.samba.org/samba/security/CVE-2023-0225.html
https://www.samba.org/samba/security/CVE-2023-0922.html
https://www.samba.org/samba/security/CVE-2023-0614.html

 

 آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در فروردین 1402، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به «فهرست آسیب‌پذیری‌های در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

CVE-2019-8526 (Apple):
https://support.apple.com/en-us/HT209600

CVE-2023-2033 (Google):
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

CVE-2023-20963 (Android):
https://source.android.com/docs/security/bulletin/2023-03-01

CVE-2023-29492 (Novi Survey):
https://novisurvey.net/blog/novi-survey-security-advisory-apr-2023.aspx

CVE-2023-28252 (Microsoft):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-28252

CVE-2023-28205 (Apple):
https://support.apple.com/en-us/HT213720
https://support.apple.com/en-us/HT213721
https://support.apple.com/en-us/HT213722
https://support.apple.com/en-us/HT213723

CVE-2023-28206 (Apple):
https://support.apple.com/en-us/HT213720
https://support.apple.com/en-us/HT213721

CVE-2021-27876 (Veritas):
https://www.veritas.com/support/en_US/security/VTS21-001

CVE-2021-27877 (Veritas):
https://www.veritas.com/support/en_US/security/VTS21-001

CVE-2021-27878 (Veritas):
https://www.veritas.com/support/en_US/security/VTS21-001

CVE-2019-1388 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1388

CVE-2023-26083 (Arm):
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

CVE-2022-27926 (Zimbra):
https://wiki.zimbra.com/wiki/Security_Center

CVE-2013-3163 (Microsoft):
https://learn.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-055

CVE-2017-7494 (Samba):
https://www.samba.org/samba/security/CVE-2017-7494.html

CVE-2022-42948 (Fortra):
https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-2/

CVE-2022-39197 (Fortra):
https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/

CVE-2021-30900 (Apple):
https://support.apple.com/en-us/HT21286
https://support.apple.com/en-us/HT212868
https://support.apple.com/kb/HT212872

CVE-2022-38181 (Arm):
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

CVE-2023-0266 (Linux):
https://git.kernel.org/pub/scm/linux/kernel/git/stable/stable-queue.git/tree/queue-5.10/alsa-pcm-move-rwsem-lock-inside-snd_ctl_elem_read-to-prevent-uaf.patch?id=72783cf35e6c55bca84c4bb7b776c58152856fd4

CVE-2022-3038 (Google):
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_30.html

CVE-2022-22706 (Arm):
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *