اصلاحیه‌های امنیتی دی‌ماه

در دی 1402، شرکت‌های مایکروسافت، سیسکو، ترلیکس، فورتی‌نت، جونیپر نت‌ورکز، وی‌ام‌ور، سیتریکس و گوگل اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

مـایـکـروسـافـت

19 دی 1402، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژانویه 2024 منتشر کرد. اصلاحیه‌های مذکور، حدود 50 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند.

مجموعه‌اصلاحیه‌های ژانویه، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

• Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
• Elevation of Privilege (افزایش سطح دسترسی)
• Information Disclosure (افشای اطلاعات)
• Denial of Service – به اختصار DoS (منع سرویس)
• Security Feature Bypass (دور زدن سازوکارهای امنیتی)
• Spoofing (جعل)

RCE، با 12 مورد، بیشترین سهم از آسیب‌پذیری‌های این ماه را به خود اختصاص داده است. با این حال، مایکروسافت، فقط 2 ضعف امنیتی این ماه را “بحرانی” (Critical) گزارش کرده است. شدت سایر آسیب‌پذیری‌ها نیز “زیاد” (Important) اعلام شده است.

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “زیاد” برطرف و ترمیم می‌گردند.

هیچ یک از آسیب‌پذیری‌های وصله‌شده این ماه نیز از نوع “روز-صفر” (Zero-day) اعلام نشده است. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.

38 مورد از مجموع 48 آسیب‌پذیری این ماه در سیستم عامل Windows گزارش شده‌اند. سایر آسیب‌پذیری‌ها نیز محصولات زیر را متأثر می‌کنند:

• .NET با 5 مورد
• Visual Studio با 4 مورد
• Azure با 2 مورد
• Microsoft Identity Model / NuGet با 1 مورد
• Microsoft Printer Metadata Troubleshooter Tool با 1 مورد
• Office با 1 مورد
• SharePoint با 1 مورد
• SQL Server با 1 مورد

فهرست آسیب‌پذیری‌های “بحرانی” این ماه به شرح زیر است:

• CVE-2024-20674 که ضعفی از نوع Security Feature Bypass است و Windows Kerberos از آن متأثر می‌شود.
• CVE-2024-20700 هم که ضعفی از نوع RCE است و Windows Hyper-V از آن تأثیر می‌پذیرد.

فهرست کامل آسیب‌پذیری‌های ترمیم‌شده توسط مجموعه‌اصلاحیه‌های ژانویه 2024 مایکروسافت در لینک زیر قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2122/

سـیـسـکـو

شرکت سیسکو (Cisco Systems)، در دی ماه، 12 آسیب‌پذیری را که شدت یکی از آنها “بحرانی” گزارش شده در محصولات مختلف خود ترمیم کرد. آسیب‌‌پذیری بحرانی مذکور که به آن شناسه CVE-2024-20272 تخصیص داده شده، Cisco Unity Connection را متأثر می‌کند. اطلاعات بیشتر در خصوص به‌روزرسانی‌ها و اصلاحیه‌های سیسکو در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

تـرلـیـکـس

19 و 20 دی‌ماه 1402، شرکت ترلیکس (Trellix)، نسخه جدید نرم‌افزارهای Agent و Application Control را به همراه چند به‌روزرسانی دیگر منتشر کرد.

Trellix Agent

5.8.1، جدیدترین نگارش نرم‌افزار Trellix Agent است که 19 دی‌ماه توسط ترلیکس عرضه شد. ارتقای افزونه‌های OpenSSL و LibCurl و پشتیبانی از Amazon Linux 2023 و نسخه‌های 8.8 و 9.1 نرم‌افزار Rocky Linux، از جمله به‌روزرسانی‌های اعمال‌شده در Trellix Agent 5.8.1 است. نکته قابل توجه، ترمیم چند آسیب‌پذیری متأثر از بسته Curl و پودمان OpenSSL و همچنین ضعفی با شناسه CVE-2024-0213 در Trellix Agent است. لذا، ارتقای این نرم‌افزار به نسخه 5.8.1 به تمامی راهبران، توصیه می‌شود. اطلاعات بیشتر در لینک زیر قابل دریافت است:

https://docs.trellix.com/bundle/trellix-agent-5.8.x-release-notes

Trellix Application Control

Trellix Application Control 8.4.0، دیگر، نسخه جدید عرضه‌شده در 19 دی بود. بهبود امکانات پیکربندی و فراهم شدن قابلیت دریافت به‌روزرسانی‌های Windows حتی در حالت موسوم به Enable Mode از جمله ویژگی‌های Trellix Application Control 8.4.0 است. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://docs.trellix.com/bundle/trellix-application-change-control-8.4.x-release-notes-windows

Trellix Anti-Malware Scan Engine

شرکت ترلیکس، 19 دی، Engine 6700 را نیز به‌صورت عمومی منتشر کرد. Trellix Anti-Malware Scan Engine که از آن با عنوان Engine یاد می‌شود هسته اجرایی بخش ضدبدافزار محصولات امنیتی ترلیکس است و با بهره‌گیری از فناوری‌های پیشرفته و منحصربه‌فرد خود، کدهای بالقوه مخرب را شناسایی کرده و سیستم را از گزند انواع بدافزارها ایمن نگاه می‌دارد. افزایش قابلیت‌های شناسایی و بهبود کارایی، و ترمیم ضعفی با شناسه اصلی‌ترین موارد لحاظ‌شده در نسخه 6700 است. در حال حاضر، نگارش نهایی Engine 6700 برای نصب دستی قابل استفاده است. از اواسط بهمن ماه نیز نسخه جدید به‌صورت خودکار توسط بخش به‌روزرسانی محصولات سازمانی ترلیکس دریافت و نصب خواهد شد. جزییات کامل در مورد Engine 6700 در لینک زیر قابل دسترس است:

https://kcm.trellix.com/corporate/index?page=content&id=KB92669

Exploit Prevention Content

همچنین، ترلیکس، 20 دی، به‌روزرسانی 13259 را برای Exploit Prevention Content منتشر کرد. در این به‌روزرسانی، دو قاعده زیر به فهرست قواعد قابل فعالسازی ماژول Exploit Prevention در نرم‌افزار Trellix ENS افزوده شده است:

• 6273 – Windows Error Reporting Service Elevation of Privilege
• 6274 – T1218.011 Fileless Threat: Rundll32.exe abuse for proxy execution of possibly malicious code

بر طبق اعلام ترلیکس، به‌روزرسانی مذکور، قابلیت Generic Privilege Escalation Prevention در Trellix ENS را نیز قادر به پوشش آسیب‌پذیری CVE-2024-20683 می‌کند.

فـورتـی‌نـت

در دهمین ماه 1402، شرکت فورتی‌نت (Fortinet)، اقدام به ترمیم یک ضعف امنیتی با شناسه CVE-2023-44250 در FortiOS و FortiProxy کرد. ارسال درخواست‌های دستکاری‌شده HTTP یا HTTPS به سامانه آسیب‌پذیر، مهاجم را قادر به اعمال دست‌درازی به تنظیمات رابط کاربری تحت وب آن خواهد کرد. اطلاعات بیشتر در لینک زیر:

https://www.fortiguard.com/psirt/FG-IR-23-315

جـونـیپـر نـت‌ورکـز

در دی ماه، شرکت جونیپر نت‌ورکز (Juniper Networks)، با انتشار 30 توصیه‌نامه، از ترمیم ده‌ها آسیب‌پذیری امنیتی در محصولات خود خبر داد. توصیه‌نامه‌های مذکور در اینجا قابل مطالعه هستند.

وی‌ام‌ور

شرکت وی‌ام‌ور(VMware)  در ماهی که گذشت با انتشار به‌روزرسانی،‌ ضعفی با شناسه CVE-2023-34063 را در VMware Aria Automation و VMware Cloud Foundation ترمیم کرد. شدت حساسیت این آسیب‌پذیری، 9.9 از 10 (بر اساس استاندارد CVSSV3) گزارش شده است. توصیه‌نامه مذکور، در لینک زیر قابل دریافت است:

https://www.vmware.com/security/advisories/VMSA-2024-0001.html

لازم به ذکر است در دی ماه، وی‌ام‌ور اعلام کرد مهاجمان در حال سوءاستفاده از ضعفی با شناسه CVE-2023-34048 در VMware vCenter Server هستند که این شرکت اصلاحیه آن را در اکتبر سال میلادی گذشته منتشر کرده بود. مطالعه مقاله فنی زیر به تمامی راهبران توصیه اکید می‌شود:

https://www.vmware.com/security/advisories/VMSA-2023-0023.html

سیتریکس

در اولین ماه زمستان، شرکت سیتریکس (Citrix) اقدام به انتشار توصیه‌نامه‌های زیر در خصوص 4 آسیب‌پذیری امنیتی در محصولات خود کرد:

NetScaler ADC & NetScaler Gateway (CVE-2023-6548 & CVE-2023-6549):

https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549

Citrix StoreFront (CVE-2023-5914):

https://support.citrix.com/article/CTX583759/citrix-storefront-security-bulletin-for-cve20235914

Citrix Session Recording (CVE-2023-6184):

https://support.citrix.com/article/CTX583930/citrix-session-recording-security-bulletin-for-cve20236184

گـوگـل

در دی 1402، شرکت گوگل (Google) در چند نوبت اقدام به انتشار نسخه جدید و ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. حداقل یکی از آسیب‌پذیری‌های ترمیم‌شده (CVE-2024-0519) از نوع روز-صفر بوده و مهاجمان از قبل از عرضه اصلاحیه از سوی گوگل در حال سوءاستفاده از آن بوده‌اند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://chromereleases.googleblog.com

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در دی 1402، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:

• CVE-2023-35082 Ivanti Endpoint Manager Mobile (EPMM) and MobileIron Core Authentication Bypass Vulnerability
• CVE-2024-0519 Google Chromium V8 Out-of-Bounds Memory Access Vulnerability
• CVE-2023-6549 Citrix NetScaler ADC and NetScaler Gateway Buffer Overflow Vulnerability
• CVE-2023-6548 Citrix NetScaler ADC and NetScaler Gateway Code Injection Vulnerability
• CVE-2018-15133 Laravel Deserialization of Untrusted Data Vulnerability
• CVE-2023-29357 Microsoft SharePoint Server Privilege Escalation Vulnerability
• CVE-2023-46805 Ivanti Connect Secure and Policy Secure Authentication Bypass Vulnerability
• CVE-2024-21887 Ivanti Connect Secure and Policy Secure Command Injection Vulnerability
• CVE-2023-23752 Joomla! Improper Access Control Vulnerability
• CVE-2016-20017 D-Link DSL-2750B Devices Command Injection Vulnerability
• CVE-2023-41990 Apple Multiple Products Code Execution Vulnerability
• CVE-2023-27524 Apache Superset Insecure Default Initialization of Resource Vulnerability
• CVE-2023-29300 Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
• CVE-2023-38203 Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
• CVE-2023-7101 Spreadsheet::ParseExcel Remote Code Execution Vulnerability
• CVE-2023-7024 Google Chromium WebRTC Heap Buffer Overflow Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانه‌های کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:

https://www.cisa.gov/news-events/cybersecurity-advisories?f%5B0%5D=advisory_type%3A95&f%5B1%5D=advisory_type%3A96&f%5B2%5D=advisory_type%3A97&search_api_fulltext=&sort_by=field_release_date

همچون همیشه خاطر نشان می‌گردد وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.