کمیته رکن چهارم – شرکتهای مایکروسافت، سیسکو، ترلیکس، Fortinet ، VMware ، OpenSSL ، Citrix و Drupal در بهمن ۱۴۰۱، اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی فوریه در ۲۵ بهمن ماه منتشر کرد. اصلاحیههای یادشده ۷۶ آسیبپذیری را در ویندوز و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت ۹ مورد از آسیبپذیریهای ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
• «افزایش سطح دسترسی» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «منع سرویس» (Denial of Service – به اختصار DoS)
• «دورزدن مکانیزمهای امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)
سه مورد از آسیبپذیریهای ترمیم شده این ماه (با شناسههای CVE-۲۰۲۳-۲۱۷۱۵، CVE-۲۰۲۳-۲۱۸۲۳ و CVE-۲۰۲۳-۲۳۳۷۶)، از نوع «روز-صفر» هستند که اگرچه هیچ کدام به طور عمومی افشاء نشدهاند ولی هر سه مورد آن به طور گسترده در حملات مورد سوءاستفاده قرار گرفتهاند.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز صفر که در ماه میلادی فوریه ۲۰۲۳ توسط شرکت مایکروسافت ترمیم شدهاند، میپردازیم.
• CVE-۲۰۲۳-۲۱۷۱۵: این آسیبپذیری دارای درجه اهمیت «زیاد» بوده و از نوع «دورزدن مکانیزمهای امنیتی» است. این ضعف امنیتی بر Microsoft Publisher تاثیر میگذارد. بکارگیری روشهای مهندسی اجتماعی توسط مهاجم احراز هویت شده و متقاعد کردن قربانی به باز کردن یک سند دستکاری شده یا یک فایل از یک سایت از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیبپذیری محسوب میشود. سوءاستفاده موفق از این نقص امنیتی منجر به دورزدن سیاستهای حفاظتی ماکرو در Office خواهد شد که برای مسدودسازی فایلهای مخرب و غیرقابل اعتماد استفاده میشود.
• CVE-۲۰۲۳-۲۳۳۷۶: این آسیبپذیری روز صفر دارای درجه اهمیت «زیاد» بوده و از نوع «افزایش سطح دسترسی» است و Windows Common Log File System Driver از آن متاثر میشود. سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM میکند.
• CVE-۲۰۲۳-۲۱۸۲۳: این ضعف امنیتی روز صفر ترمیم شده که دارای درجه اهمیت «زیاد» است، از نوع «اجرای کد از راه دور» است و Windows Graphics Component از آن تاثیر میپذیرد. مهاجمی که موفق به سوءاستفاده از این آسیبپذیری میشود، میتواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. Microsoft Store به طور خودکار این ضعف امنیتی را در سیستمهای آسیبپذیر بهروزرسانی میکند. در صورتی که کاربران بهروزرسانیهای خودکار Microsoft Store را غیرفعال کنند، این بهروزرسانی بهطور خودکار برای آنها نصب و اعمال نخواهد شد.
۹ مورد از آسیبپذیریهای ترمیم شده این ماه دارای درجه اهمیت «بحرانی» هستند که در ادامه به جزئیات برخی از آنها میپردازیم:
• CVE-۲۰۲۳-۲۱۶۸۹، CVE-۲۰۲۳-۲۱۶۹۰ و CVE-۲۰۲۳-۲۱۶۹۲: این سه ضعف امنیتی بر Microsoft Protected Extensible Authentication Protocol – به اختصار PEAP – تاثیر میگذارند و از نوع «اجرای کد از راه دور» هستند. مهاجم برای سوءاستفاده از آسیبپذیری CVE-۲۰۲۳-۲۱۶۸۹ به دسترسی سطح بالا و تعامل کاربر نیازی ندارد و میتواند از طریق فراخوانی شبکه، کد دلخواه و مخرب را از راه دور در حسابهای سرور اجرا کند؛ ایجاد فایلهای مخربPEAP و ارسال آنها به سرور موردنظر از سناریوهای سوءاستفاده مهاجم از ضعفهای امنیتی با شناسههای CVE-۲۰۲۳-۲۱۶۹۰و CVE-۲۰۲۳-۲۱۶۹۲ محسوب میشود.
سوءاستفاده از هر سه این ضعفهای امنیتی دارای پیچیدگی کمی است و هیچ گونه دسترسی بالا یا تعامل با کاربر مورد نیاز ناست.
• CVE-۲۰۲۳-۲۱۸۰۸، CVE-۲۰۲۳-۲۱۸۱۵ و CVE-۲۰۲۳-۲۳۳۸۱: مهاجم با سوءاستفاده از هر سه این آسیبپذیریها، قادر است از راه دور کد مخرب را به صورت محلی در سیستم قربانی اجرا کند. این ضعفهای امنیتی بر .NET و Visual Studio تاثیر میگذارند.
• CVE-۲۰۲۳-۲۱۸۰۳: این آسیبپذیری «بحرانی» ترمیم شده در ماه فوریه، از نوع «اجرای کد از راه دور» بوده و Windows iSCSI Discovery Service از آن تاثیر میپذیرد. مهاجم میتواند با ارسال یک درخواست DHCP مخرب دستکاریشده به سرویس iSCSI Discovery در ماشینهای ۳۲ بیتی، از این ضعف امنیتی سوءاستفاده کند. سوءاستفاده موفق، مهاجم را قادر به اجرای کد مخرب بر روی سیستم مورد نظر میکند.
سـیـسـکو
شرکت سیسکو (Cisco Systems) در بهمن ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، ۲۳ آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت ۲ مورد از آنها از نوع «بحرانی»، ۱۱ مورد از آنها از نوع «بالا» (High) و ۱۰ مورد از نوع «میانه» (Medium) گزارش شده است.
آسیبپذیریهایی همچون «تزریق کد از طریق سایت» (Cross site Scripting)، «منع سرویس»، «افزایش سطح دسترسی»، «سرریز حافظه» (Memory Overflow) و «تزریق فرمان» (Command Injection) از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند.
تـرلـیـکـس
در ماهی که گذشت شرکت ترلیکس (Trellix)، نسخه ۱۱.۱۰ نرمافزار Trellix DLP Endpoint را منتشر کرد. در نسخه جدبد، باگهای شناختهشده DLP Endpoint و یک آسیبپذیری با درجه حساسیت «میانه» به شناسه CVE-۲۰۲۳-۰۴۰۰ برطرف و اصلاح شده است.
فـورتـینـت
در ماهی که گذشت شرکت فورتینت (Fortinet) با انتشار چندین توصیهنامه از ترمیم ۴۰ ضعف امنیتی در محصولات این شرکت خبر داد.
درجه اهمیت دو مورد از آنها «بحرانی»، ۱۵ مورد از آنها از نوع «بالا»، ۲۲ مورد از نوع «میانه» و یک مورد از نوع «کم» (Low) گزارش شده است. گزارش شده است.
ویامور
شرکت ویامور(VMware) در ماهی که گذشت با انتشار توصیهنامههای امنیتی نسبت به ترمیم ۲ ضعف امنیتی و بهروزرسانی ۴ وصله پیشین در محصولات زیر اقدام کرد:
• VMware Workstation
• VMware vRealize Log Insight
• VMware vRealize Operations (vROps)
بیشترین تعداد ضعفهای امنیتی ترمیم شده مربوط به محصول vRealize Log Insight است. شدت دو مورد از آسیبپذیریهای یادشده، «بحرانی» گزارش شده و سوءاستفاده موفق از هر یک از آنها مهاجم را در نهایت قادر به اجرای از راه دور کد بدون نیاز به اصالتسنجی میکند.
چهار آسیبپذیری vRealize Log Insight که فهرست آنها به شرح زیر است در نسخه ۸.۱۰.۲ این محصول ترمیم و اصلاح شده است.
• CVE-۲۰۲۲-۳۱۷۰۶ که ضعفی از نوع Directory Traversal و شدت ۹.۸ از ۱۰ (بر طبق استانداردCVSS ) است. سوءاستفاده موفق از آن مهاجم احراز هویت نشده را قادر به تزریق کد در سیستم عامل و در ادامه اجرای از راه دور کد میکند.
• CVE-۲۰۲۲-۳۱۷۰۴ که ضعفی از نوع Broken Access Control و با شدت ۹.۸ از ۱۰ است. مهاجم با سوءاستفاده از این آسیبپذیری قادر خواهد بود بدون احراز هویت فایلهای موردنظر خود را به سیستم عامل تزریق و کد را به صورت از راه دور اجرا کند.
• CVE-۲۰۲۲-۳۱۷۱۰ که ضعفی از نوع Deserialization بوده و سوءاستفاده موفق از آن میتواند منجر به «منع سرویس» شود.
• CVE-۲۰۲۲-۳۱۷۱۱ که ضعفی از نوع Information Disclosure بوده و سوءاستفاده از آن امکان سرقت اطلاعات بالقوه حساس را برای مهاجم احراز هویت نشده فراهم میکند.
تمامی این آسیبپذیریها در پیکربندی پیشفرض محصول VMware vRealize Log Insight با کمترین پیچیدگی قابل سوءاستفاده هستند.
توصیه اکید میشود با مراجعه به نشانیهای زیر در اسرع وقت بروزرسانیهای ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود:
https://www.vmware.com/security/advisories/VMSA-۲۰۲۳-۰۰۰۱.html
https://www.vmware.com/security/advisories/VMSA-۲۰۲۳-۰۰۰۲.html
https://www.vmware.com/security/advisories/VMSA-۲۰۲۳-۰۰۰۳.html
دروپـال
۱۲ بهمن ۱۴۰۱، جامعه دروپال (Drupal Community) با عرضه بروزرسانی امنیتی، یک ضعف امنیتی با درجه اهمیت «نسبتاً بحرانی» (Moderately Critical) را در ماژول Apigee X / Edge نسخه Drupal ۹.x. ترمیم کرد.
سوءاستفاده از این آسیبپذیری، مهاجم را قادر به دور زدن مجوزها و افشا اطلاعات حساس و حیاتی خواهد کرد. با نصب این بروزرسانی، این ماژول در نسخه Apigee Edge ۲.۰ به Apigee Edge ۲.۰.۸ و در نسخه Apigee Edge ۸.x-۱.x به Apigee Edge ۸.x-۱.۲۷ تغییر خواهد کرد. توضیحات کامل در خصوص این بروزرسانی و توصیهنامه منتشر شده، در نشانی زیر در دسترس است:
https://www.drupal.org/security
اپناساسال
۱۸ بهمن ۱۴۰۱، بنیاد نرمافزاری اپن-اساسال (OpenSSL Software Foundation) با عرضه بروزرسانیهای امنیتی، ضعفهای امنیتی متعددی را در نسخههای ۳.۰، ۱.۱.۱ و ۱.۰.۲ نرمافزار OpenSSL ترمیم کرده است. با نصب این بروزرسانی، نسخه نرمافزار OpenSSL نگارش ۳.۰ به ۳.۰.۸، نگارش ۱.۱.۱ بهt ۱.۱.۱ و نگارش ۱.۰.۲ به zg۱.۰.۲ تغییر خواهند کرد.
سوءاستفاده از بعضی از این آسیبپذیریها مهاجم را قادر به اجرای حملاتی نظیر «منع سرویس» و «نشت اطلاعات حافظه» (Memory Content Disclosure) نظیر افشای کلیدهای خصوصی و اطلاعات حساس میکند. از این رو توصیه میشود که راهبران امنیتی در اولین فرصت نسبت به ارتقاء این نرمافزار اقدام کنند.
سیتریـکس
در ماهی که گذشت، شرکت سیتریکس(Citrix) نیز با عرضه بروزرسانیهای امنیتی، چندین آسیبپذیری با شناسههای CVE-۲۰۲۳-۲۴۴۸۶، CVE-۲۰۲۳-۲۴۴۸۴، CVE-۲۰۲۳-۲۴۴۸۵ و CVE-۲۰۲۳-۲۴۴۸۳ را در محصولات Citrix Workspace App، Citrix Virtual App و Citrix Desktop ترمیم کرد. سوءاستفاده از این آسیبپذیریها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه میکند.
توصیه میشود راهبران امنیتی جزییات ضعفهای امنیتی یادشده را در نشانیهای زیر مرور کرده و بروزرسانی لازم را اعمال کنند.
https://support.citrix.com/article/CTX۴۷۷۶۱۶/
https://support.citrix.com/article/CTX۴۷۷۶۱۷/
https://support.citrix.com/article/CTX۴۷۷۶۱۸/
آسـیبپـذیـریهـای درحـال سوءاستفاده
در بهمن ۱۴۰۱، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به «فهرست آسیبپذیریهای در حال سوءاستفاده» یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-۲۰۲۲-۴۶۱۶۹ (Cacti):
https://github.com/Cacti/cacti/security/advisories/GHSA-۶p۹۳-p۷۴۳-۳۵gf
CVE-۲۰۲۳-۲۱۷۱۵ (Microsoft Office):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-۲۰۲۳-۲۱۷۱۵
CVE-۲۰۲۳-۲۳۳۷۶ (Microsoft Windows):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-۲۰۲۳-۲۳۳۷۶
CVE-۲۰۲۳-۲۳۵۲۹ (Apple):
https://support.apple.com/en-us/HT۲۱۳۶۳۵
https://support.apple.com/en-us/HT۲۱۳۶۳۳
https://support.apple.com/en-us/HT۲۱۳۶۳۸
CVE-۲۰۲۳-۲۱۸۲۳ (Microsoft Windows):
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-۲۰۲۳-۲۱۸۲۳
CVE-۲۰۱۵-۲۲۹۱ (Intel, Ethernet Diagnostics Driver for Windows):
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-۰۰۰۵۱.html
CVE-۲۰۲۲-۲۴۹۹۰ (TerraMaster, TerraMaster OS):
https://forum.terra-master.com/en/viewtopic.php?t=۳۰۳۰
CVE-۲۰۲۳-۰۶۶۹ (Fortra, GoAnywhere MFT):
https://my.goanywhere.com/webclient/DownloadProductFiles.xhtml
CVE-۲۰۲۲-۲۱۵۸۷ (Oracle, E-Business Suite):
https://www.oracle.com/security-alerts/cpuoct۲۰۲۲.html
CVE-۲۰۲۳-۲۲۹۵۲ (SugarCRM):
https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-۲۰۲۳-۰۰۱/
CVE-۲۰۱۷-۱۱۳۵۷ (Telerik, User Interface (UI) for ASP.NET AJAX ):
https://docs.telerik.com/devtools/aspnet-ajax/knowledge-base/asyncupload-insecure-direct-object-reference
CVE-۲۰۲۲-۴۷۹۶۶ (Zoho, ManageEngine):
https://www.manageengine.com/security/advisory/CVE/cve-۲۰۲۲-۴۷۹۶۶.html
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت و مطالعه است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
وجود یک دستگاه با نرمافزار، سیستمعامل یا فریمورک آسیبپذیر در سازمان بهخصوص اگر بر روی اینترنت نیز قابل دسترس باشد عملاً درگاهی برای ورود بیدردسر مهاجمان و در اختیار گرفتن کنترل کل شبکه تلقی میشود.
منبع: مرکز مدیریت راهبردی افتا