سه آسیب پذیری که CISA در خصوص آنها هشدارهای متعددی داده و از سازمانها خواسته در اسرع وقت وصله های مربوط به آن را نصب نمایند:
آسیب پذیری CVE-2023-36584 در ویندوز که امکان دور زدن قابلیت امنیتی MotW را به مهاجم میدهد، مایکروسافت این آسیب پذیری را در وصله های ماه اکتبر رفع نموده است.
آسیب پذیری CVE-2023-1671 در Sophos Web Appliance یک آسیب پذیری تزریق دستور بوده که به مهاجم امکان اجرای کد از راه دور را میدهد. با اینکه این آسیب پذیری حیاتی در آپریل 2023 رفع شده است اما همچنان نسبت به بهره برداری از آن هشدار می دهند و نسخه های قبل از 4.3.10.4 این نرم افزار تحت تاثیر هستند. نکته اینکه مدلهایی که از رده خارج شده اند این آپدیت امنیتی را دریافت نکرده اند و به توصیه این شرکت لازم است به محصولات جدیدتر ارتقا یابند.
آسیب پذیری CVE-2020-2551 در Oracle Fusion Middleware به مهاجم ناشناس امکان دسترسی به شبکه از طریق IIOP را داده و سرور WebLogic در معرض خطر قرار میگیرد.
هشدار Fortinet به کاربران خود در خصوص آسیب پذیری FortiSIEM
یک آسیب پذیری حیاتی تزریق دستور OS در FortiSIEM گزارش شده است که می تواند از راه دور توسط مهاجمان ناشناس مورد بهره برداری قرار گیرد تا دستورات مورد نظر خود را اجرا نمایند.
این آسیب پذیری با شماره CVE-2023-36553 توسط تیم امنیت محصول این شرکت کشف شد و امتیاز 9.3 و درجه اهمیت حیاتی دارد. آسیب پذیری مذکور نوع دیگری از آسیب پذیری CVE-2023-34992 است که در ماه اکتبر رفع شده است.
شرکت Fortinet به کاربران خود هشدار داده است که FortiSIEM خود را به ورژن های 6.4.3، 6.5.2، 6.7.6، 7.0.1 و 7.1.0 و بالاتر ارتقا دهند.
استفاده از آسیب پذیری Zero-day در سرورهای Zimbra در حملات به سازمان های مختلف
TAG اخیرا بهره برداری مهاجمان از آسیب پذیری Zero-day در سرورهای میل Zimbra را شناسایی نموده است. هکرها از یک ماه قبل از اینکه شرکت سازنده آسیب پذیری CVE-2023-37580 را رفع نماید از آن در حال بهره برداری بوده اند. این حفره امنیتی یک مشکل XSS در Zimbra Classic Web Client است.
به گزارش TAG مهاجمان از این آسیب پذیری در سازمانهای دولتی کشورهای مختلفی از جمله یونان، تونس، ویتنام و پاکستان و … سواستفاده کرده و اطلاعات ایمیل، مجوزهای کاربران و توکن های احراز هویت را به سرقت برده و ایمیل ها را فورواد کرده و قربانی را به صفحات فیشینگ هدایت می کند.
بعد از هشدار TAG شرکت سازنده یک hotfix اورژانسی روی GitHub منتشر کرده است. پیرو حملات بعدی Zimbra در نهایت یک آپدیت رسمی برای آن منتشر کرد.
آسیب پذیری خطرناک در Apache ActiveMQ
یک آسیب پذیری حیاتی در Apache ActiveMQ امکان اجرای کد از راه دور را برای مهاجمین ساده تر می کند. این آسیب پذیری با شماره CVE-2023-46604 و امتیاز 10! به مهاجم امکان اجرای دستورات پوسته دلخواه را داده و توسط Apache اواخر ماه گذشته رفع شده است. با این حال همچنان هزاران سازمان آسیب پذیر وجود داشته و گروه هایی باج افزاری مختلف از این فرصت استفاده می کنند.
با توجه به اهمیت بالای این آسیب پذیری توصیه شده است که فورا به روز رسانی های مربوط به آن دانلود و نصب گردد و یا حداقل سرورها را از اینترنت جدا کرد.
انتشار اکسپلویت برای آسیب پذیری CrushFTP
اکسپلویتی برای آسیب پذیری CVE-2023-43177 در CrushFTP Enterprise Suite منتشر شده که به مهاجم امکان دسترسی به فایل های سرور، اجرای کد و به دست آوردن پسوردها را میدهد.
این آسیب پذیری از آگوست 2023 شناسایی شد و سازنده در نسخه 10.5.2 آن را رفع نمود. با این حال در این هفته اکسپلویت مربوط به آن منتشر شد که شرایط حساسی را برای کاربرانی که هنوز نسخه خود را ارتقا نداده اند، ایجاد می کند. طبق گزارشها حدود 10 هزار نمونه CrushFTP در معرض خطر هستند. محصولات انتقال فایل مانند CrushFTP از جمله اهداف جذاب برای باج افزارها تلقی می شوند و متاسفانه حتی با وجود به روز رسانی به طور کامل در برابر تهدیدات احتمالی امن نخواهد بود و بهتر است اقدامات زیر را مدنظر قرار داد:
- *به روزرسانی CrushFTP به آخرین ورژن
- *فعالسازی انجام به روز رسانی های امنیتی به صورت خودکار
- *تغییر الگوریتم پسورد به Argon
- *بررسی و ممیزی کاربران احراز هویت نشده و تغییرات پسورد اخیر
- *فعالسازی حالت Limited Server برای افزایش امنیت
اکسپلویت RCE محصولات Juniper
مرکز CISA در مورد 4 آسیب پذیری محصولات Juniper که در حال حاضر در حملات اجرای کد از راه دور به صورت زنجیره ای استفاده می شوند، هشدار میدهد.
این هشدار یک هفته بعد از به روز رسانی توصیه امنیتی Juniper برای کاربران خود صورت گرفته است. آسیب پذیری های یافت شده در رابط کاربری J-Web با شماره شناسایی های CVE-2023-36844 و CVE-2023-36845 و CVE-2023-36846 و CVE-2023-36847 به طور گسترده در سطح جهانی در حال بهره برداری توسط مهاجمان هستند.
شرکت Juniper نیز در این خصوص به کاربران خود هشدار داده و از آنها خواسته که فورا نسخه های فعلی خود را ارتقا دهند.
طبق اطلاعات Shadowserver بیش از 10 هزار دستگاه Juniper در حال حاضر به صورت آنلاین آسیب پذیر هستند. لازم است ادمین های شبکه با آپگرید JunOS به آخرین ورژن منتشر شده دستگاههای خود را ایمن کرده یا حداقل دسترسی به اینترنت از طریق رابط کاربری J-Web را محدود نمایند.
منبع:
https://www.bleepingcomputer.com/
https://www.darkreading.com