بهروزرسانیها و اصلاحیههای مهر ۱۴۰۰
در مهر ۱۴۰۰، مایکروسافت، سیسکو، مکآفی، ویامور، اوراکل، آپاچی و جونیپرنتورکز برای برخی محصولات خود بهروزرسانی و توصیهنامه امنیتی، عرضه کردند.
♦ مـایـکـروسـافـت
شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی اکتبر، سهشنبه ۲۰ مهر، منتشر کرد.
اصلاحیههای مذکور بیش از ۷۰ آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
درجه اهمیت ۳ مورد از آسیبپذیریهای ترمیم شده این ماه “حیاتی” (Critical) و دیگر موارد تقریباً “مهم” (Important) اعلام شده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاستجمهوری، تهیه شده به برخی از بااهمیتترین اصلاحیههای ماه اکتبر مایکروسافت پرداخته شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مختلف مایکروسافت به شرح زیر ترمیم میکنند:
• “افزایش سطح دسترسی” (Elevation of Privilege)
• “اجرای کد از راه دور” (Remote Code Execution)
• “افشای اطلاعات” (Information Disclosure)
• “جعل” (Spoofing)
• “عبور از سد امکانات امنیتی” (Security Feature Bypass)
• “منع سرویس” (Denial of Service – به اختصار DoS)
چهار مورد از آسیبپذیریهای ترمیم شده این ماه، از نوع “روز – صفر” (شناسههای CVE-۲۰۲۱-۴۰۴۴۹, CVE-۲۰۲۱-۴۱۳۳۸, CVE-۲۰۲۱-۴۰۴۶۹, CVE-۲۰۲۱-۴۱۳۳۵) هستند.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز – صفر میداند که پیشتر، اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده است و یا در مواقعی مهاجمان از آنها سوءاستفاده کردهاند.
اولین ضعف امنیتی “روز – صفر” که در این ماه ترمیم شده، دارای شناسه CVE-۲۰۲۱-۴۰۴۴۹ بوده است که سوءاستفاده از آن به تعامل کاربر نیازی ندارد و قابلیت “ترفیع امتیازی” را برای بدافزارها یا مهاجم در نسخههای مختلف سیستمعامل Windows (از طریق Win۳۲k Kernel driver) فراهم میکند.
آسیبپذیری مذکور به طور فعال مورد سوءاستفاده قرار گرفته و دارای درجه شدت ۸/۷ از ۱۰ است.
این ضعف امنیتی از یک آسیبپذیری در راهانداز Win۳۲k که درگذشته ناشناخته بوده است، استفاده میکند و بهرهجویی از آن تا حد زیادی به تکنیکی برای نشت آدرس اصلی ماژولهای Kernel متکی است.
شرکت کسپرسکی (Kaspersky Lab.) در گزارش خود که جزئیات کامل آن در نشانی زیر ارائه شده، اعلام کرده است که مهاجمان از این آسیبپذیری در “کمپینهای گسترده جاسوسی علیه شرکتهای فناوری اطلاعات، پیمانکاران نظامی/دفاعی و نهادهای دیپلماتیک” استفاده کردهاند.
در بخشی از حملات، مهاجمان با بهکارگیری و نصب بدافزارهای موسوم به Remote Access Trojan – به اختصار RAT – از آسیبپذیری روز صفر مذکور در Windows سوءاستفاده کرده و سطح دسترسی را ارتقاء میدهند.
محققان کسپرسکی این نوع فعالیت بدافزاری را MysterSnail نامگذاری کردهاند و به علت شباهت کد و استفاده مجدد از زیرساخت کنترل و فرماندهی (C۲) آن را به مهاجمان IronHusky و تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) چینی مرتبط با ۲۰۱۲ نسبت دادهاند.
دستیابی به سطح دسترسی بالا در سیستمهای آسیبپذیر اولین قدم برای تبدیلشدن به یک مدیر دامنه و اطمینان از دسترسی کامل به شبکه یک سازمان است. ازآنجاییکه مهاجمان در حال حاضر از این ضعف امنیتی برای نفوذ به سازمانها و بهدستآوردن سطح دسترسی بالا (Administrator) استفاده میکنند، راهبران امنیتی باید وصله این آسیبپذیری را در اولویت قرار دهند.
دیگر ضعف امنیتی این ماه از نوع “روز – صفر” ، آسیبپذیری با شناسه CVE-۲۰۲۱-۴۱۳۳۸ است که “عبور از سد امکانات امنیتی” را در Windows AppContainer Firewall برای مهاجم فراهم میکند و درجه شدت آن ۵/۵ از ۱۰ است.
سومین ضعف امنیتی از نوع “روز – صفر” این ماه، آسیبپذیری با شناسه CVE-۲۰۲۱-۴۰۴۶۹ مربوط به Windows DNS و از نوع “اجرای کد از راه دور” است. درجه شدت ضعف امنیتی مذکور ۲/۷ از ۱۰ است.
آخرین آسیبپذیری “روز – صفر” ترمیم شده در این ماه، ضعفی با درجه شدت ۸/۷ از ۱۰ و با شناسه CVE-۲۰۲۱-۴۱۳۳۵ است که از نوع “افزایش سطح دسترسی” در Windows Kernel است.
آسیب پذیریCVE-۲۰۲۱-۴۰۴۶۱ یکی از آسیبپذیرهای حیاتی ماه اکتبر است که با سوءاستفاده از ضعفی در Network Virtualization Service Provider “اجرای کد از راه دور” را بر روی سیستم قربانی برای مهاجم فراهم میکند. این آسیبپذیری دارای درجه شدت ۸ از ۱۰ است.
آسیبپذیری حیاتی دیگر، CVE-۲۰۲۱-۳۸۶۷۲ نیز ناشی از باگی در Windows Hyper-V است و منجر به “اجرای کد از راه دور” بر روی سیستم مورد نظر شده و درجه شدت آن نیز مشابه CVE-۲۰۲۱-۴۰۴۶۱ است.
از دیگر آسیبپذیریهای بااهمیت این ماه میتوان به ضعف امنیتی با شناسه CVE-۲۰۲۱-۴۰۴۸۶ اشاره کرد که در صورت بهرهجویی منجر به “اجرای کد از راه دور” میشود.
♦ سـیسـکو
شرکت سیسکو (Cisco Systems, Inc) چندین نوبت در مهر ماه بهروزرسانیهای امنیتی برخی از محصولات خود را عرضه کرد.
این بهروزرسانیها، ۳۷ آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت ۱۵ مورد از آنها از نوع “بالا” (High) و ۲۲ مورد از نوع “متوسط” (Medium) گزارش شده است. این ۳۷ آسیبپذیری به حملاتی همچون “منع سرویس”، “تزریق کد از طریق سایت” (Cross-Site Scripting)، “افزایش سطح دسترسی”، “تزریق فرمان” (Command Injection)، “افشای اطلاعات” و “سرریز حافظه” (Buffer Overflow) منجر میشدند که از جمله مهمترین اشکالات مرتفع شده، توسط بهروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستمِ آسیبدیده سوءاستفاده کند.
توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
♦ مـکآفـی
شرکت مکآفی اینترپرایز (McAfee Enterprise) ، ۲۹ مهر، اقدام به انتشار Update ۱۱ نرمافزار McAfee ePolicy Orchestrator ۵,۱۰ – به اختصار ePO – کرد.
در بهروزرسانی جدید، اصلاحاتی شامل بهینهسازی میزان استفاده از حافظه و رفع چند باگ لحاظ شده است. شرکت مکآفی اینترپرایز، ارتقای ePO ۵,۱۰ به Update ۱۱ را “الزامی” (Mandatory) گزارش کرده است.
مشروح اطلاعات فنی بهروزرسانی مذکور در لینک زیر قابل دریافت است:
https://docs.mcafee.com/bundle/epolicy-orchestrator-۵,۱۰.۰-release-notes/page/GUID-E۴B۰۸A۱۸-۷۷A۱-۴۰۴C-A۱D۵-D۳۳۳CA۷۴D۷۷A.html
♦ ویامور
شرکت ویامور (VMware, Inc) با انتشار توصیهنامههای امنیتی، در ۲ مهر، محصولات زیر را ترمیم کرد:
- VMware Cloud Foundation
- VMware vCenter Server
- VMware vRealize Operations
- VMware vRealize Orchestrator
- VMware vRealize Automation
- VMware vRealize Log Insight
- VMware vRealize Suite Lifecycle Manager
سوءاستفاده از برخی از این ضعفهای امنیتی ترمیم شده توسط این بهروزرسانیها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند.
جزئیات بیشتر آن در لینکهای زیر قابلمطالعه است:
♦ اوراکـل
شرکت اوراکل (Oracle Corp) مطابق با برنامه زمانبندی شده سهماهه خود، ۲۷ مهر ۱۴۰۰، با انتشار مجموعه بهروزرسانیهای موسوم به Critical Patch Update به ترمیم ۴۱۹ آسیبپذیری امنیتی در دهها محصول ساخت این شرکت، اقدام کرد.
سوءاستفاده از برخی از آسیبپذیریهای مذکور مهاجم را به اجرای کد بهصورت از راه دور بدون نیاز به هر گونه اصالتسنجی، قادر میکند. جزییات کامل در خصوص آنها در لینک زیر قابل دریافت است:
♦ آپاچی
بنیاد نرمافزاری آپاچی (Apache Software Foundation)، با انتشار نسخه ۲,۴.۵۰ این محصول از ترمیم یک آسیبپذیری پویش مسیر (Path Traversal) با شناسه CVE-۲۰۲۱-۴۱۷۷۳ در ۱۲ مهر، خبر داد.
سوءاستفاده از ضعف مذکور دسترسی به محتوای فایلهای ذخیره شده بر روی سرور آسیبپذیر را برای مهاجمان فراهم میکرد.
بر اساس توضیحات این بنیاد، تنها نسخه ۲,۴.۴۹ از آسیبپذیری CVE-۲۰۲۱-۴۱۷۷۳ متاثر میشود. با این توضیح که بهرهجویی از آسیبپذیری مذکور در صورتی موفق خواهد بود که قابلیت “Require all denied” فعال نباشد. ضمن آنکه سوءاستفاده موفق از CVE-۲۰۲۱-۴۱۷۷۳ میتواند منجر به نشت کد منبع (Source Code) فایلهایی نظیر اسکریپتهای CGI شود.
خیلی زود پس از انتشار نسخه ۲,۴.۵۰، محققان امنیتی از آسیبپذیری این نسخه جدید خبر دادند و نمونههایی از بهرهجوهای قابلاجرا نیز بر روی اینترنت در دسترس قرار گرفت.
سوءاستفاده از این آسیبپذیری جدید که به آن شناسه CVE-۲۰۲۱-۴۲۰۱۳ تخصیص داده شده است، میتواند در صورت غیرفعال بودن گزینه “Require all denied” به اجرای کد بهصورت از راه دور بر روی سرور منجر شود.
بهمنظور وصله کردن این آسیبپذیری روز – صفر جدید، بنیاد آپاچی در ۱۵ مهرماه به انتشار نسخه ۲,۴.۵۱ اقدام کرد.
هر دو آسیبپذیری CVE-۲۰۲۱-۴۱۷۷۳ و CVE-۲۰۲۱-۴۲۰۱۳ توسط مهاجمان در حال بهرهجویی هستند؛ لذا بهتمامی راهبران Apache HTTP Server توصیه اکید میشود که در صورت استفاده از هر یک از نسخ ۲,۴.۴۹ و ۲.۴.۵۰ دراسرعوقت نسبت به ارتقای این محصول به نسخه ۲.۴.۵۱ اقدام کنند.
این بنیاد، در ۲۳ مهر نیز با انتشار توصیهنامهای، ضعفی به شناسه CVE-۲۰۲۱-۴۲۳۴۰ را در چندین نسخه از Apache Tomcat رفع کرد که سوءاستفاده از آسیبپذیری مذکور، مهاجم را به حملهای از نوع “منع سرویس” قادر میکند.
توصیهنامههای آپاچی در لینکهای زیر قابلمطالعه است:
♦ جـونیـپر نـتورکـز
جونیپر نتورکز (Juniper Networks, Inc) هم در مهر ماه با ارائه بهروزرسانی، چندین ضعف امنیتی را در محصولات مختلف این شرکت ترمیم کرد.
سوءاستفاده از ضعفهای مذکور مهاجم را به در اختیار گرفتن کنترل دستگاه آسیبپذیر قادر میکند.
جزییات بیشتر در لینک زیر قابل مطالعه است:
