جدیدترین به‌روزرسانی‌ها و اصلاحیه‌های امنیتی شرکت‌های مهم جهان

کمیته رکن چهارم – شرکت‌های مایکروسافت، سیسکو، ترلیکس، Fortinet ، VMware ، OpenSSL ، Citrix و Drupal در بهمن ۱۴۰۱، اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی فوریه در ۲۵ بهمن ماه منتشر کرد. اصلاحیه‌های یادشده ۷۶ آسیب‌پذیری را در ویندوز و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت ۹ مورد از آسیب‌پذیری‌های ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:
• «افزایش سطح دسترسی» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «منع سرویس» (Denial of Service – به اختصار DoS)
• «دورزدن مکانیزم‌های امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

سه مورد از آسیب‌پذیری‌های ترمیم شده این ماه (با شناسه‌های CVE-۲۰۲۳-۲۱۷۱۵، CVE-۲۰۲۳-۲۱۸۲۳ و CVE-۲۰۲۳-۲۳۳۷۶)، از نوع «روز-صفر» هستند که اگرچه هیچ کدام به طور عمومی افشاء نشده‌اند ولی هر سه مورد آن به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز صفر که در ماه میلادی فوریه ۲۰۲۳ توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم.

• CVE-۲۰۲۳-۲۱۷۱۵: این آسیب‌پذیری دارای درجه اهمیت «زیاد» بوده و از نوع «دورزدن مکانیزم‌های امنیتی» است. این ضعف امنیتی بر Microsoft Publisher تاثیر می‌گذارد. بکارگیری روش‌های مهندسی اجتماعی توسط مهاجم احراز هویت شده و متقاعد کردن قربانی به باز کردن یک سند دستکاری شده یا یک فایل از یک سایت از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری محسوب می‌شود. سوءاستفاده موفق از این نقص امنیتی منجر به دورزدن سیاست‌های حفاظتی ماکرو در Office خواهد شد که برای مسدودسازی فایل‌های مخرب و غیرقابل اعتماد استفاده می‌شود.
• CVE-۲۰۲۳-۲۳۳۷۶: این آسیب‌پذیری روز صفر دارای درجه اهمیت «زیاد» بوده و از نوع «افزایش سطح دسترسی» است و Windows Common Log File System Driver از آن متاثر می‌شود. سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM می‌کند.
• CVE-۲۰۲۳-۲۱۸۲۳: این ضعف امنیتی روز صفر ترمیم شده که دارای درجه اهمیت «زیاد» است، از نوع «اجرای کد از راه دور» است و Windows Graphics Component از آن تاثیر می‌پذیرد. مهاجمی که موفق به سوءاستفاده از این آسیب‌پذیری می‌شود، می‌تواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. Microsoft Store به طور خودکار این ضعف امنیتی را در سیستم‌های آسیب‌پذیر به‌روزرسانی می‌کند. در صورتی که کاربران به‌روزرسانی‌های خودکار Microsoft Store را غیرفعال کنند، این به‌روزرسانی به‌طور خودکار برای آنها نصب و اعمال نخواهد شد.

۹ مورد از آسیب‌پذیری‌های ترمیم شده این ماه دارای درجه اهمیت «بحرانی» هستند که در ادامه به جزئیات برخی از آنها می‌پردازیم:

• CVE-۲۰۲۳-۲۱۶۸۹، CVE-۲۰۲۳-۲۱۶۹۰ و CVE-۲۰۲۳-۲۱۶۹۲: این سه ضعف امنیتی بر Microsoft Protected Extensible Authentication Protocol – به اختصار PEAP – تاثیر می‌گذارند و از نوع «اجرای کد از راه دور» هستند. مهاجم برای سوءاستفاده از آسیب‌پذیری CVE-۲۰۲۳-۲۱۶۸۹ به دسترسی سطح بالا و تعامل کاربر نیازی ندارد و می‌تواند از طریق فراخوانی شبکه، کد دلخواه و مخرب را از راه دور در حساب‌های سرور اجرا کند؛ ایجاد فایل‌های مخربPEAP و ارسال آنها به سرور موردنظر از سناریوهای سوءاستفاده مهاجم از ضعف‌های امنیتی با شناسه‌های CVE-۲۰۲۳-۲۱۶۹۰و CVE-۲۰۲۳-۲۱۶۹۲ محسوب می‌شود.

سوءاستفاده از هر سه این ضعف‌های امنیتی دارای پیچیدگی کمی است و هیچ گونه دسترسی بالا یا تعامل با کاربر مورد نیاز ناست.

• CVE-۲۰۲۳-۲۱۸۰۸، CVE-۲۰۲۳-۲۱۸۱۵ و CVE-۲۰۲۳-۲۳۳۸۱: مهاجم با سوءاستفاده از هر سه این آسیب‌پذیری‌ها، قادر است از راه دور کد مخرب را به صورت محلی در سیستم قربانی اجرا ‌کند. این ضعف‌های امنیتی بر .NET و Visual Studio تاثیر می‌گذارند.
• CVE-۲۰۲۳-۲۱۸۰۳: این آسیب‌پذیری «بحرانی» ترمیم شده در ماه فوریه، از نوع «اجرای کد از راه دور» بوده و Windows iSCSI Discovery Service از آن تاثیر می‌پذیرد. مهاجم می‌تواند با ارسال یک درخواست DHCP مخرب دستکاری‌شده به سرویس iSCSI Discovery در ماشین‌های ۳۲ بیتی، از این ضعف امنیتی سوءاستفاده کند. سوءاستفاده موفق، مهاجم را قادر به اجرای کد مخرب بر روی سیستم مورد نظر می‌کند.

سـیـسـکو
شرکت سیسکو (Cisco Systems) در بهمن ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این به‌روز‌رسانی‌ها، ۲۳ آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت ۲ مورد از آنها از نوع «بحرانی»، ۱۱ مورد از آنها از نوع «بالا» (High) و ۱۰ مورد از نوع «میانه» (Medium) گزارش شده است.

آسیب‌پذیری‌هایی همچون «تزریق کد از طریق سایت» (Cross site Scripting)، «منع سرویس»، «افزایش سطح دسترسی»، «سرریز حافظه» (Memory Overflow) و «تزریق فرمان» (Command Injection) از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند.

تـرلـیـکـس
در ماهی که گذشت شرکت ترلیکس (Trellix)، نسخه ۱۱.۱۰ نرم‌افزار Trellix DLP Endpoint را منتشر کرد. در نسخه جدبد، باگ‌های شناخته‌شده DLP Endpoint و یک آسیب‌پذیری با درجه حساسیت «میانه» به شناسه CVE-۲۰۲۳-۰۴۰۰ برطرف و اصلاح شده است.

فـورتـی‌نـت
در ماهی که گذشت شرکت فورتی‌نت (Fortinet) با انتشار چندین توصیه‌نامه‌‌ از ترمیم ۴۰ ضعف امنیتی در محصولات این شرکت خبر داد.

درجه اهمیت دو مورد از آنها «بحرانی»، ۱۵ مورد از آنها از نوع «بالا»، ۲۲ مورد از نوع «میانه» و یک مورد از نوع «کم» (Low) گزارش شده است. گزارش شده است.

وی‌ام‌ور
شرکت وی‌ام‌ور(VMware) در ماهی که گذشت با انتشار توصیه‌نامه‌های‌ امنیتی نسبت به ترمیم ۲ ضعف امنیتی و به‌روزرسانی ۴ وصله پیشین در محصولات زیر اقدام کرد:

• VMware Workstation
• VMware vRealize Log Insight
• VMware vRealize Operations (vROps)

بیشترین تعداد ضعف‌های امنیتی ترمیم شده مربوط به محصول vRealize Log Insight است. شدت دو مورد از آسیب‌پذیری‌های یادشده، «بحرانی» گزارش شده و سوءاستفاده موفق از هر یک از آن‌ها مهاجم را در نهایت قادر به اجرای از راه دور کد بدون نیاز به اصالت‌سنجی می‌کند.

چهار آسیب‌پذیری vRealize Log Insight که فهرست آن‌ها به شرح زیر است در نسخه ۸.۱۰.۲ این محصول ترمیم و اصلاح شده است.

• CVE-۲۰۲۲-۳۱۷۰۶ که ضعفی از نوع Directory Traversal و شدت ۹.۸ از ۱۰ (بر طبق استانداردCVSS ) است. سوءاستفاده موفق از آن مهاجم احراز هویت نشده را قادر به تزریق کد در سیستم عامل و در ادامه اجرای از راه دور کد می‌کند.
• CVE-۲۰۲۲-۳۱۷۰۴ که ضعفی از نوع Broken Access Control و با شدت ۹.۸ از ۱۰ است. مهاجم با سوءاستفاده از این آسیب‌پذیری قادر خواهد بود بدون احراز هویت فایل‌های موردنظر خود را به سیستم عامل تزریق و کد را به صورت از راه دور اجرا کند.
• CVE-۲۰۲۲-۳۱۷۱۰ که ضعفی از نوع Deserialization بوده و سوءاستفاده موفق از آن می‌تواند منجر به «منع سرویس» شود.
• CVE-۲۰۲۲-۳۱۷۱۱ که ضعفی از نوع Information Disclosure بوده و سوءاستفاده از آن امکان سرقت اطلاعات بالقوه حساس را برای مهاجم احراز هویت نشده فراهم می‌کند.

تمامی این آسیب‌پذیری‌ها در پیکربندی پیش‌فرض محصول VMware vRealize Log Insight با کمترین پیچیدگی قابل سوءاستفاده هستند.

توصیه اکید می‌شود با مراجعه به نشانی‌های زیر در اسرع وقت بروزرسانی‌های‌ ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:

https://www.vmware.com/security/advisories/VMSA-۲۰۲۳-۰۰۰۱.html
https://www.vmware.com/security/advisories/VMSA-۲۰۲۳-۰۰۰۲.html
https://www.vmware.com/security/advisories/VMSA-۲۰۲۳-۰۰۰۳.html

دروپـال
۱۲ بهمن ۱۴۰۱، جامعه دروپال (Drupal Community) با عرضه بروزرسانی‌ امنیتی، یک ضعف‌ امنیتی با درجه اهمیت «نسبتاً بحرانی» (Moderately Critical) را در ماژول‌ Apigee X / Edge نسخه Drupal ۹.x. ترمیم کرد.

سوءاستفاده از این آسیب‌پذیری،‌ مهاجم را قادر به دور زدن مجوزها و افشا اطلاعات حساس و حیاتی خواهد کرد. با نصب این بروزرسانی‌، این ماژول‌ در نسخه Apigee Edge ۲.۰ به Apigee Edge ۲.۰.۸ و در نسخه Apigee Edge ۸.x-۱.x به Apigee Edge ۸.x-۱.۲۷ تغییر خواهد کرد. توضیحات کامل در خصوص این بروزرسانی‌ و توصیه‌نامه‌ منتشر شده، در نشانی‌ زیر در دسترس است:

https://www.drupal.org/security

اپن‌اس‌اس‌ال
۱۸ بهمن ۱۴۰۱، بنیاد نرم‌افزاری اپن-اس‌اس‌ال (OpenSSL Software Foundation) با عرضه بروزرسانی‌های‌ امنیتی، ضعف‌های‌ امنیتی متعددی را در نسخه‌های ۳.۰، ۱.۱.۱ و ۱.۰.۲ نرم‌افزار OpenSSL ترمیم کرده است. با نصب این بروزرسانی‌، نسخه نرم‌افزار OpenSSL نگارش ۳.۰ به ۳.۰.۸، نگارش‌ ۱.۱.۱ بهt ۱.۱.۱ و نگارش ۱.۰.۲ به zg۱.۰.۲ تغییر خواهند کرد.

سوءاستفاده از بعضی از این آسیب‌پذیری‌ها مهاجم را قادر به اجرای حملاتی نظیر «منع سرویس» و «نشت اطلاعات حافظه» (Memory Content Disclosure) نظیر افشای کلیدهای خصوصی و اطلاعات حساس می‌‌کند. از این رو توصیه می‌شود که راهبران امنیتی در اولین فرصت نسبت به ارتقاء این نرم‌افزار اقدام کنند.

سیتریـکس
در ماهی که گذشت، شرکت سیتریکس(Citrix) نیز با عرضه بروزرسانی‌های امنیتی، چندین آسیب‌پذیری با شناسه‌های CVE-۲۰۲۳-۲۴۴۸۶، CVE-۲۰۲۳-۲۴۴۸۴، CVE-۲۰۲۳-۲۴۴۸۵ و CVE-۲۰۲۳-۲۴۴۸۳ را در محصولات Citrix Workspace App، Citrix Virtual App و Citrix Desktop ترمیم کرد. سوءاستفاده از این آسیب‌پذیری‌ها،‌ مهاجم را قادر به در اختیار گرفتن کنترل سامانه می‌کند.

توصیه می‌شود راهبران امنیتی جزییات ضعف‌‌های امنیتی یادشده را در نشانی‌های زیر مرور کرده و بروزرسانی‌ لازم را اعمال کنند.

https://support.citrix.com/article/CTX۴۷۷۶۱۶/
https://support.citrix.com/article/CTX۴۷۷۶۱۷/
https://support.citrix.com/article/CTX۴۷۷۶۱۸/

آسـیب‌پـذیـری‌هـای درحـال سوءاستفاده
در بهمن ۱۴۰۱، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به «فهرست آسیب‌پذیری‌های در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

CVE-۲۰۲۲-۴۶۱۶۹ (Cacti):
https://github.com/Cacti/cacti/security/advisories/GHSA-۶p۹۳-p۷۴۳-۳۵gf
CVE-۲۰۲۳-۲۱۷۱۵ (Microsoft Office):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-۲۰۲۳-۲۱۷۱۵
CVE-۲۰۲۳-۲۳۳۷۶ (Microsoft Windows):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-۲۰۲۳-۲۳۳۷۶
CVE-۲۰۲۳-۲۳۵۲۹ (Apple):
https://support.apple.com/en-us/HT۲۱۳۶۳۵
https://support.apple.com/en-us/HT۲۱۳۶۳۳
https://support.apple.com/en-us/HT۲۱۳۶۳۸
CVE-۲۰۲۳-۲۱۸۲۳ (Microsoft Windows):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-۲۰۲۳-۲۱۸۲۳
CVE-۲۰۱۵-۲۲۹۱ (Intel, Ethernet Diagnostics Driver for Windows):
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-۰۰۰۵۱.html
CVE-۲۰۲۲-۲۴۹۹۰ (TerraMaster, TerraMaster OS):
https://forum.terra-master.com/en/viewtopic.php?t=۳۰۳۰
CVE-۲۰۲۳-۰۶۶۹ (Fortra, GoAnywhere MFT):
https://my.goanywhere.com/webclient/DownloadProductFiles.xhtml
CVE-۲۰۲۲-۲۱۵۸۷ (Oracle, E-Business Suite):
https://www.oracle.com/security-alerts/cpuoct۲۰۲۲.html
CVE-۲۰۲۳-۲۲۹۵۲ (SugarCRM):
https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-۲۰۲۳-۰۰۱/
CVE-۲۰۱۷-۱۱۳۵۷ (Telerik, User Interface (UI) for ASP.NET AJAX ):
https://docs.telerik.com/devtools/aspnet-ajax/knowledge-base/asyncupload-insecure-direct-object-reference
CVE-۲۰۲۲-۴۷۹۶۶ (Zoho, ManageEngine):
https://www.manageengine.com/security/advisory/CVE/cve-۲۰۲۲-۴۷۹۶۶.html

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

وجود یک دستگاه با نرم‌افزار، سیستم‌عامل یا فریم‌ورک آسیب‌پذیر در سازمان به‌خصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بی‌دردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی می‌شود.

منبع: مرکز مدیریت راهبردی افتا