اصلاحیههای امنیتی مهر 1403
در مهر 1403، شرکتهای مایکروسافت، سیسکو، فورتینت، ترلیکس، ویامور، سولارویندز، گوگل، موزیلا و اسایپی اقدام به عرضه بهروزرسانی برای ترمیم آسیبپذیریهای امنیتی در برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
| مایکروسافت | سیسکو | فورتینت | ترلیکس | ویامور |
| سولارویندز | گوگل | موزیلا | اسایپی |
مایکروسافت
17 مهر، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی اکتبر 2024 منتشر کرد. اصلاحیههای مذکور، 117 آسیبپذیری را که 5 مورد از آنها، “روز-صفر” گزارش شده در محصولات مختلف این شرکت ترمیم میکنند.
مجموعهاصلاحیههای ماه اکتبر، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
RCE، با 42 مورد، بیشترین سهم از انواع آسیبپذیریهای این ماه را به خود اختصاص داده است. Elevation of Privilege و Denial of Service نیز بهترتیب با 28 و 26 مورد در جایگاههای بعدی قرار دارند.
3 مورد از آسیبپذیریهای این ماه، “بحرانی” (Critical) گزارش شده که همگی از نوع RCE هستند. شدت 110 آسیبپذیری نیز “زیاد” (Important) اعلام شده است. در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “زیاد” برطرف و ترمیم میگردند.
همچنین 5 مورد از آسیبپذیریهای وصلهشده، از نوع “روز-صفر” (Zero-day) اعلام شده است. مایکروسافت، آن دسته از آسیبپذیریها را روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
از مجموع 5 آسیبپذیری روز-صفر این ماه، 2 مورد زیر از مدتی پیش توسط مهاجمان اکسپلویت شدهاند:
- CVE-2024-43573 که ضعفی از نوع Spoofing است و Windows MSHTML از آن تأثیر میپذیرد.
- CVE-2024-43572 که ضعفی از نوع RCE در Microsoft Management Console است. این باگ امنیتی، مهاجم را قادر به اجرای از راه دور کد در جریان باز کردن یک فایل مخرب Microsoft Saved Console – MSC میکند.
جزییات 3 آسیبپذیری زیر نیز اگر چه بهصورت عمومی افشا شده اما موردی دال بر سوءاستفاده مهاجمان از آنها گزارش نشده است:
- CVE-2024-6197 که ضعفی از نوع RCE در libcurl که سیستم عامل Windows بهنحوی از آن بهره میگیرد میباشد.
- CVE-2024-20659 که ضعفی از نوع Security Feature Bypass در بستر مجازیسازی Windows Hyper-V است و ماشینهای مجازی با UEFI از آن متأثر میشوند.
- CVE-2024-43583 که ضعفی از نوع Elevation of Privilege در سیستم عامل Windows است. اکسپلویت این آسیبپذیری، امکان ارتقای سطح دسترسی مهاجم به SYSTEM را فراهم میکند. علاوه بر نصب اصلاحیه مربوطه، برطرف نمودن ضعف امنیتی مذکور، مستلزم فعالسازی Microsoft first-party IME مطابق با راهنمای زیر است:
فهرست کامل آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای اکتبر 2024 مایکروسافت در لینک زیر قابل مطالعه است:
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2182
سیسکو
شرکت سیسکو (Cisco Systems)، در مهر ماه، 57 آسیبپذیری را که شدت یک مورد از آنها (با شناسه CVE-2024-20432)، “بحرانی” و 26 مورد “بالا” (High)، گزارش شده در محصولات مختلف خود ترمیم کرد. سوءاستفاده از برخی از ضعفهای امنیتی مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابل دسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
فورتینت
در هفتمین ماه 1403، شرکت فورتینت (Fortinet)، اقدام به ترمیم 12 ضعف امنیتی در محصولات خود کرد. شدت یکی از آسیبپذیریهای مذکور (با شناسه CVE-2024-23113) “حیاتی” و یکی دیگر (با شناسه CVE-2024-6387)، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر قابل مطالعه است:
https://www.fortiguard.com/psirt
ترلیکس
در مهر، شرکت ترلیکس (Trellix)، اقدام به انتشار نسخه زیر کرد:
Trellix Data Loss Prevention Extension 11.11 Update 3:
https://docs.trellix.com/bundle/data-loss-prevention-11.11.x-release-notes
Trellix Data Loss Prevention Endpoint for Windows 11.11 Update 1:
https://docs.trellix.com/bundle/data-loss-prevention-endpoint-windows-11.11.x-release-notes
Trellix Endpoint Security (ENS) for Linux 10.7.18 September Kernel Update:
https://docs.trellix.com/bundle/endpoint-security-10.7.18-threat-prevention-release-notes-linux
Exploit Prevention Content 10.7.0.13535:
https://www.trellix.com/en-us/assets/release-notes/mep-release-notes-windows.pdf
ویامور
در اولین ماه از پاییز 1403، شرکت ویامور (VMware) اقدام به انتشار سه توصیهنامه زیر در خصوص وجود آسیبپذیری در چندین محصول خود کرد.
CVE-2024-38814 در VMware HCX:
CVE-2024-38818, CVE-2024-38817, CVE-2024-38815 در VMware NSX و VMware Cloud Foundation:
CVE-2024-38812 و CVE-2024-38813 در VMware vCenter Server و VMware Cloud Foundation:
سولارویندز
شرکت سولارویندز (SolarWinds) نیز در مهر ماه، اقدام به انتشار توصیهنامه در خصوص 6 آسیبپذیری در محصولات خود کرد که جزییات آنها در لینک زیر در دسترس قرار گرفته است:
https://www.solarwinds.com/trust-center/security-advisories
شدت یکی از این آسیبپذیریها (با شناسه CVE-2024-28988) “بحرانی” و سه مورد، “بالا” گزارش شده است.
گوگل
در ماهی که گذشت، شرکت گوگل (Google)، اقدام به انتشار نسخ جدید برای مرورگر خود، یعنی Chrome نمود. نسخههای جدید چندین آسیبپذیری را برطرف کردهاند. جزییات آسیبپذیریهای مذکور در لینک زیر قابل دریافت است:
https://chromereleases.googleblog.com/
موزیلا
این ماه نیز، شرکت موزیلا (Mozilla)، ضعفهای امنیتی متعددی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگهای امنیتی، “حیاتی” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
اسایپی
شرکت اسایپی (SAP) هم در مهر، نزدیک به 20 آسیبپذیری امنیتی را در محصولات مختلف ترمیم کرد. جزییات آسیبپذیریهای مذکور در لینک زیر زیر قابل دریافت است:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2024.html
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در مهر 1403، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-2024-38094 Microsoft SharePoint Deserialization Vulnerability
CVE-2024-9537 ScienceLogic SL1 Unspecified Vulnerability
CVE-2024-40711 Veeam Backup and Replication Deserialization Vulnerability
CVE-2024-28987 SolarWinds Web Help Desk Hardcoded Credential Vulnerability
CVE-2024-9680 Mozilla Firefox Use-After-Free Vulnerability
CVE-2024-30088 Microsoft Windows Kernel TOCTOU Race Condition Vulnerability
CVE-2024-9380 Ivanti Cloud Services Appliance (CSA) OS Command Injection Vulnerability
CVE-2024-9379 Ivanti Cloud Services Appliance (CSA) SQL Injection Vulnerability
CVE-2024-23113 Fortinet Multiple Products Format String Vulnerability
CVE-2024-43573 Microsoft Windows MSHTML Platform Spoofing Vulnerability
CVE-2024-43572 Microsoft Windows Management Console Remote Code Execution Vulnerability
CVE-2024-43047 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
CVE-2024-45519 Synacor Zimbra Collaboration Command Execution Vulnerability
CVE-2024-29824 Ivanti Endpoint Manager (EPM) SQL Injection Vulnerability
CVE-2019-0344 SAP Commerce Cloud Deserialization of Untrusted Data Vulnerability
CVE-2021-4043 Motion Spell GPAC Null Pointer Dereference Vulnerability
CVE-2020-15415 DrayTek Multiple Vigor Routers OS Command Injection Vulnerability
CVE-2023-25280 D-Link DIR-820 Router OS Command Injection Vulnerability
CVE-2024-7593 Ivanti Virtual Traffic Manager Authentication Bypass Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانههای کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:
