شناسایی آسیب پذیری بحرانی RCE در Apache OFBiz

یک آسیب پذیری بحرانی (CVE-2024-32113) در Apache OFBiz که جزو نرم افزارهای محوب سازمان هاست، کشف شده است. در این نرم افزار آسیب پذیری path traversal وجود دارد که به هکرها اجازه می دهد، از طریق دسترسی RCE کدهای مخرب را بر روی سیستم‌هایی دارای نسخه آسیب‌پذیر اجرا نمایند.

در ادامه مهم ترین موضوعات مورد بحث این آسیب پذیری شرح داده شده است:

1) آسیب پذیری بحرانی CVE-2024-32113 یک نقص path traversal است که منجر به اجرای کد از راه دور (RCE) می شود.
2) محدودیت‌های Inadequate pathname restrictions به هکرها اجازه می‌دهد تا به commandها در restricted directories دسترسی داشته باشند و آن‌ها را اجرا نمایند.
3) نسخه های قبل از 18.12.13 این نرم افزار آسیب پذیر هستند.
4) تیم Apache OFBiz نسخه 18.12.13 را منتشر کرده که آسیب پذیری جدید کشف شده در آن برطرف شده است. بنابراین شرکت‌ها و سازمان‌هایی که از Apache OFBiz استفاده می‌کنند، حتما در اسرع وقت این نرم افزار را به روز رسانی نمایند.

 

سوء استفاده هکرها از ماشین های مجازی (VMs) Rogue در حملات سایبری علیه شرکت MITER

در اواخر دسامبر 2023، هکرها از آسیب پذیری Zero-day در Ivanti Connect Secure (ICS) برای حمله سایبری به شرکت MITER سوء استفاده کردند.  آنها ماشین های مجازی (VM)  rogue را در محیط VMware MITRE با استفاده از دسترسی به سرور vCenter ایجاد کردند.

کشف آسیب‌پذیری در GitLab

به تازگی یک آسیب‌پذیری با شناسه CVE-2024-4835 و شدت بالا (8.8) در GitLab(CE & EE) کشف و شناسایی شده است. طبق بررسی‌های صورت گرفته این نقص یک آسیب‌پذیری XSS می‌باشد. مهاجمان می‌توانند با بهره‌برداری از این نقص برای ایجاد یک صفحه مخرب استفاده کنند و اطلاعات حساس کاربران را به سرقت ببرند. این آسیب‌پذیری به‌طور خاص بر ویرایشگر کد در GitLab تأثیر می‌گذارد و به طور بالقوه به مهاجمان اجازه می‌دهد تا حساب‌های کاربری را تصاحب کنند.

 

بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N). همچنین نیازمند پیش‌زمینه‌ خاصی بوده و به‌راحتی قابل تکرار نیست و به شرایط خاصی نیاز دارد(AC:H). ضمنا برای انجام حمله علیه حساب کاربری به سطح دسترسی خاصی نیاز نیست (PR: N) و فقط به تعامل کاربر نیاز دارد (UL:R)، بهره‌برداری از آسیب‌پذیری‌ مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:N).

محصولات تحت تأثیر

این آسیب‌پذیری‌ نسخه‌های 7.8 تا 16.9.6، از 16.10 تا 16.10.4 و از 16.11 تا 16.11.1 را تحت تأثیر قرار می‌دهد.

 

گزارش آنالیز اکسپلویت ها و آسیب پذیری های منتشر شده در سه ماهه اول 2024

گزارش جدیدی از آزمایشگاه Kaspersky در مورد اکسپلویت ها و آسیب پذیری های سه ماهه اول سال 2024 منتشر شده است. بخش‌های آماری و تحلیلی گزارش ارائه‌شده به هر دو روند در حال ظهور آسیب‌پذیری‌ها و اکسپلویت های جدید و همچنین رایج‌ترین موارد درگیر در حملات سایبری مربوط می‌شود.
به طور کلی، محققان بیان می کنند که طی پنج سال گذشته تعداد آسیب پذیری های جدید هر سال به طور پیوسته در حال افزایش بوده است.

بهره برداری از اکسپلویت آسیب‌پذیری Zero Day مرورگر Microsoft Edge

به تازگی آسیب‌پذیریZero Day  (CVE-2024-4671) در مرورگر Microsoft Edge شناسایی شده که اکسپلویت آن توسط گروه های هکری مورد سوء استفاده قرار گرفته است. 
این نقص، که از موتور کرومیوم استفاده شده توسط Edge و سایر مرورگرها مانند Google Chrome سرچشمه می‌گیرد، به دلیل وجود باگ « use after free» در مؤلفه Visuals Chromium است. اکسپلویت این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا کد دلخواه خود را بر روی سیستم قربانیان اجرا کنند و به اطلاعات خصوصی آنها دست یابند.
گوگل که پروژه Chromium را مدیریت می کند، این سوء استفاده را تایید می کند و احتمالاً در حال توسعه پچ جدید مرتبط با آن است. کاربران تا آن زمان باید احتیاط کنند و از دانلود فایل های ناخواسته و بازدید وب سایت های نامعتبر خودداری کنند.

انتشار پچ آسیب پذیری های بحرانی در محصولات VMware Workstation و Fusion

چندین نقص امنیتی در محصولات VMware Workstation و Fusion افشا شده که هکرها می توانند با سوء استفاده از آنها به اطلاعات حساس سیستم ها دسترسی پیدا کنند و یا برای انجام حملات DDoS از آنها بهره برداری کنند. این آسیب‌پذیری‌ها در مسابقه Pwn2Own در ونکوور شناسایی شده اند.
ارائه‌دهنده سرویس مجازی‌ساز متعلق به Broadcom گفت: "چهار آسیب‌پذیری در نسخه‌های Workstation 17.x و  Fusion 13.xشناسایی شده است که به ترتیب در نسخه‌های 17.5.2 و 13.5.2 رفع شده‌اند". این آسیب پذیری ها عبارتند از:

• CVE-2024-22267 (CVSS 9.3): آسیب‌پذیری use-after-free در بلوتوث دستگاه است که امکان اجرای کد با سطح دسترسی ادمین لوکال را فراهم می‌کند.
• CVE-2024-22268 (CVSS 7.1): آسیب‌پذیری  heap buffer-overflow in Shader functionality که منجر به ایجاد وضعیت DDoS در سیستم ها می شود.
• CVE-2024-22269 (CVSS 7.1): آسیب‌پذیری information disclosure در بلوتوث دستگاه که hypervisor memory را افشا می‌کند.
• CVE-2024-22270 (CVSS 7.1): آسیب‌پذیری information disclosure در Host Guest File Sharing (HGFS) که hypervisor memory را آشکار می‌کند.

پچ آسیب پذیری نسخه های 17.5.2 و 13.5.2 منتشر شده است، اما راه‌حل‌ موقت غیرفعال کردن بلوتوث و 3D acceleration می باشد.  

 

سوء استفاده هکرها از اکسپلویت باگ LiteSpeed Cache برای دسترسی کامل به سایت های وردپرسی

اکسپلویت آسیب پذیری بحرانی CVE-2023-40000 در افزونه LiteSpeed Cache وردپرس شناسایی شده که توسط هکرها برای ایجاد حساب های rogue admin مورد سوء استفاده قرار می گیرد.
این آسیب پذیری به هکرها اجازه می دهد تا با استفاده از HTTP request های دستکاری شده، سطح دسترسی خود را ارتقاء دهند و حساب های rogue admin با اسامی اختصاصی ایجاد نمایند. این اکسپلویت میلیون‌ها سایت وردپرسی که همچنان از نسخه های قدیمی استفاده می کنند را تحت تأثیر قرار می‌دهد. برای جلوگیری از این تهدید جدید، به کاربران توصیه می شود که نسخه وردپرس سایت خود را به روز رسانی نموده و از نصب افزونه های ناشناس جدا خودداری نمایند.

بهره برداری بات نت Mirai از اکسپلویت آسیب پذیری بحرانی دستگاه های Ivanti Connect

بر اساس تحقیقات شرکت Juniper Threat Labs دو آسیب پذیری بحرانی CVE-2023-46805 و CVE-2024-21887 در دستگاه های Ivanti Connect Secure (ICS) شناسایی شده است که به منظور استقرار بات نت بدنام Mirai مورد سوء استفاده قرار می گیرند.
آسیب پذیری بحرانی اول اجازه بایپس Authentication را می دهد، در حالی که آسیب پذیری بحرانی دوم منجر به command injection می شود. هکرها با سوء استفاده از این آسیب پذیری ها ابتدا کد دلخواه خود را بر روی دستگاه های آسیب پذیر اجرا نموده و سپس بدافزار بات نت Mirai را فعال می کنند.  

 

بریتانیا مغز متفکر باج افزار LockBit را شناسایی کرد

 

براساس اعلام سازمان جرائم ملی بریتانیا(NCA) ، این فرد یک شهروند 31 ساله روس به نام دیمیتری یوریویچ خوروشف است.

علاوه بر افشای هویت وی، تحریم هایی نیز علیه خوروشف از سوی وزارت خزانه داری آمریکا(OFAC) و وزارت امور خارجه استرالیا وضع شده است.
یوروپل، سازمان پلیس اتحادیه اروپا، در بیانیه ای اعلام کرد که مقامات بیش از 2500 کلید رمزگشایی در اختیار دارند و برای ارائه کمک به قربانیان LockBit با آن ها تماس می گیرند.

خوروشف که با نام های LockBitSupp و putinkrab فعالیت می کرد، اکنون تحت محدودیت انتقال وجوه و ممنوعیت سفر قرار گرفته است. همچنین وازارت خارجه آمریکا برای کسب اطلاعاتی که منجر به دستگیری یا محکومیت وی شود، تا سقف 10 میلیون دلار جایزه تعیین کرده است.