انتشار پچ آسیب پذیری های بحرانی در محصولات VMware Workstation و Fusion

چندین نقص امنیتی در محصولات VMware Workstation و Fusion افشا شده که هکرها می توانند با سوء استفاده از آنها به اطلاعات حساس سیستم ها دسترسی پیدا کنند و یا برای انجام حملات DDoS از آنها بهره برداری کنند. این آسیب‌پذیری‌ها در مسابقه Pwn2Own در ونکوور شناسایی شده اند.
ارائه‌دهنده سرویس مجازی‌ساز متعلق به Broadcom گفت: "چهار آسیب‌پذیری در نسخه‌های Workstation 17.x و  Fusion 13.xشناسایی شده است که به ترتیب در نسخه‌های 17.5.2 و 13.5.2 رفع شده‌اند". این آسیب پذیری ها عبارتند از:

• CVE-2024-22267 (CVSS 9.3): آسیب‌پذیری use-after-free در بلوتوث دستگاه است که امکان اجرای کد با سطح دسترسی ادمین لوکال را فراهم می‌کند.
• CVE-2024-22268 (CVSS 7.1): آسیب‌پذیری  heap buffer-overflow in Shader functionality که منجر به ایجاد وضعیت DDoS در سیستم ها می شود.
• CVE-2024-22269 (CVSS 7.1): آسیب‌پذیری information disclosure در بلوتوث دستگاه که hypervisor memory را افشا می‌کند.
• CVE-2024-22270 (CVSS 7.1): آسیب‌پذیری information disclosure در Host Guest File Sharing (HGFS) که hypervisor memory را آشکار می‌کند.

پچ آسیب پذیری نسخه های 17.5.2 و 13.5.2 منتشر شده است، اما راه‌حل‌ موقت غیرفعال کردن بلوتوث و 3D acceleration می باشد.  

 

سوء استفاده هکرها از اکسپلویت باگ LiteSpeed Cache برای دسترسی کامل به سایت های وردپرسی

اکسپلویت آسیب پذیری بحرانی CVE-2023-40000 در افزونه LiteSpeed Cache وردپرس شناسایی شده که توسط هکرها برای ایجاد حساب های rogue admin مورد سوء استفاده قرار می گیرد.
این آسیب پذیری به هکرها اجازه می دهد تا با استفاده از HTTP request های دستکاری شده، سطح دسترسی خود را ارتقاء دهند و حساب های rogue admin با اسامی اختصاصی ایجاد نمایند. این اکسپلویت میلیون‌ها سایت وردپرسی که همچنان از نسخه های قدیمی استفاده می کنند را تحت تأثیر قرار می‌دهد. برای جلوگیری از این تهدید جدید، به کاربران توصیه می شود که نسخه وردپرس سایت خود را به روز رسانی نموده و از نصب افزونه های ناشناس جدا خودداری نمایند.

بهره برداری بات نت Mirai از اکسپلویت آسیب پذیری بحرانی دستگاه های Ivanti Connect

بر اساس تحقیقات شرکت Juniper Threat Labs دو آسیب پذیری بحرانی CVE-2023-46805 و CVE-2024-21887 در دستگاه های Ivanti Connect Secure (ICS) شناسایی شده است که به منظور استقرار بات نت بدنام Mirai مورد سوء استفاده قرار می گیرند.
آسیب پذیری بحرانی اول اجازه بایپس Authentication را می دهد، در حالی که آسیب پذیری بحرانی دوم منجر به command injection می شود. هکرها با سوء استفاده از این آسیب پذیری ها ابتدا کد دلخواه خود را بر روی دستگاه های آسیب پذیر اجرا نموده و سپس بدافزار بات نت Mirai را فعال می کنند.  

 

هشدار Zero-Day در Chrome: مرورگر خود را سریعتر به روز کنید

 

گوگل روز پنجشنبه بروزرسانی های امنیتی را برای رفع نقص روز صفر (Zero-Day) مرورگر کروم منتشر کرد که گفته بود به طور فعال در فضای سایبری مورد سو استفاده قرار گرفته است.

این آسیب پذیری بحرانی با شناسه CVE-2024-4671 ، به عنوان یک مورد use-after-free در کامپوننت Visuals توصیف شده است. این آسیب پذیری توسط یک محقق ناشناس در 7 می 2024 گزارش شده است.

باگ های use-after-free ، زمانی ایجاد می شوند که یک برنامه پس از لغو تخصیص فضا، به یک مکان حافظه ارجاع شود و می تواند منجر به پیامدهای مختلفی از جمله کرش تا اجرای کد دلخواه شود.

این شرکت در یک توصیه کوتاه بدون فاش کردن جزئیات بیشتر در مورد نحوه استفاده از این نقص در حملات یا هویت عوامل تهدید پشت آن گفت: " گوگل آگاه است که یک اکسپلویت برای CVE-2024-4671 در فضای سایبری وجود دارد."

بریتانیا مغز متفکر باج افزار LockBit را شناسایی کرد

 

براساس اعلام سازمان جرائم ملی بریتانیا(NCA) ، این فرد یک شهروند 31 ساله روس به نام دیمیتری یوریویچ خوروشف است.

علاوه بر افشای هویت وی، تحریم هایی نیز علیه خوروشف از سوی وزارت خزانه داری آمریکا(OFAC) و وزارت امور خارجه استرالیا وضع شده است.
یوروپل، سازمان پلیس اتحادیه اروپا، در بیانیه ای اعلام کرد که مقامات بیش از 2500 کلید رمزگشایی در اختیار دارند و برای ارائه کمک به قربانیان LockBit با آن ها تماس می گیرند.

خوروشف که با نام های LockBitSupp و putinkrab فعالیت می کرد، اکنون تحت محدودیت انتقال وجوه و ممنوعیت سفر قرار گرفته است. همچنین وازارت خارجه آمریکا برای کسب اطلاعاتی که منجر به دستگیری یا محکومیت وی شود، تا سقف 10 میلیون دلار جایزه تعیین کرده است.

طرح‌های امن سازی شرکت ها از نوپا تا سازمان های بزرگ

 

 

در دنیای امروز تقریبا تمام شرکت‌هایی که حوزه‌های مختلف فعالیت می‌کنند با شبکه، اینترنت و فضای مجازی سروکار دارند و تمام یا بخشی از کسب و کار آنها با اقتصاد دیجیتال درگیر است. این شرکت‌ها همواره در معرض تهدید‌ها و حملات سایبری قرار دارند. 

ما در امن‌بان فناوری شریف سعی کرده‌ایم مشکلات امنیتی شرکت‌ها را با رویکردی جدید تا حد زیادی رفع کنیم!

در روش پیشنهادی ما بر خلاف روش‌های قدیمی که شامل خرید یک یا چند نرم افزار و سخت افزار امنیتی است که فقط بخشی از مشکلات امنیتی مجموعه را پوشش می‌دهد سعی کرده‌ایم با بررسی شرکت‌ها بر اساس اندازه شرکت‌ها بسته‌هایی با عنوان طرح‌های امن‌سازی برای آنها آماده کنیم. در هر کدام از این طرح‌ها تلاش شده است که تمام جنبه‌های امنیت شرکت از امنیت کاربران تا امنیت شبکه و حریم خصوصی مورد پوشش داده شود.
در طرح‌های امن بان اجرا و پیاده سازی طرح‌ها به عهده تیم‌های امن‌بان است و شرکت‌ها نیاز به هزینه اضافی در این مورد ندارند.
طرح‌های امن‌بان دارای پشتیبانی قابل تمدید برای رفع مشکلات و اطمینان از پیاده سازی و اجرای درست طرح‌ها هستند.

تمدید پروانه فعالیت در حوزه خدمات عملیاتی افتا

 

شرکت امن بان فناوری شریف موفق شد پروانه فعالیت خود در حوزه خدمات عملیاتی افتا شامل آزمون و ارزیابی امنیتی، تست نفوذ و Red Teaming از سازمان فناوری اطلاعات ایران و مرکز افتا را با موفقیت تمدید کند.

برای مشاهده و اعتبار سنجی گواهی به اینجا مراجعه فرمایید.

از زحمات همکاران تیم تست نفوذ و سایر همکارانی که برای کسب و تمدید این گواهی زحمت کشیدند صمیمانه سپاسگزاریم.

آسیب‌پذیری PrintNightmare و نحوه رفع آن

 

 

1- شروع ماجرا
بعد از آسیب‌پذیری با شناسه CVE-2021-1675 روی سرویس print spooler که منجر به اجرای دستور از راه دور (RCE) می‌شد یک بهره‌جویی  توسط Benjamin Delpy  خالق ابزار معروف mimikatz روی ویندوز سرور 2019 که تا تاریخ 2021/06/06 هم آپدیت شده بود منتشر شد  (شکل 1)، در ابتدا تصور می‌شد که آپدیت مایکروسافت برای این آسیب‌پذیری درست عمل نکرده اما بعداً معلوم شد که یک آسیب‌پذیری جدید است و با شناسه CVE-2021-34527 و نام PrintNightmare نامگذاری شد. این آسیب‌پذیری نیز منجر به اجرای کد ازراه‌دور (RCE) روی سیستم قربانی می‌شد. چند روز پس از انتشار آسیب‌پذیری CVE-2021-34527 یک وصله‌ی  اولیه برای رفع آن توسط شرکت مایکروسافت منتشر شد که بهره‌جویی هم آپدیت شد و نشان داد که آپدیت منتشرشده مشکل را کامل رفع نکرده است و در نهایت مایکروسافت آپدیت کاملی برای این آسیب پذیری ارائه داد.

آسیب‌پذیری CVE-2021-31166 و نحوه رفع آن

 

در روزهای گذشته مایکروسافت خبر آسیب‌پذیری با شناسه CVE-2021-31166 را برای سیستم‌عامل‌های ویندوزی منتشر کرد. آسیب‌پذیری CVE-2021-31166‌ که دارای امتیاز CVSS 9.8 (آسیب‌پذیری حیاتی) است در ویندوزهای سرور 2016 و ویندوز 10 که وب‌سروری بر آن‌ها در حال اجرا باشد، وجود دارد. CVE-2021-31166 به علت آسیب‌پذیری موجود در پشته پروتکل HTTP و مشکل استفاده از اشاره‌گر پس از آزادکردن آن رخ خواهد داد.
بهره‌جویی  این آسیب‌پذیری از راه دور قابل انجام است و نیاز به هیچ گونه احراز هویت و تعامل کاربر ندارد. مهاجم به کمک این آسیب‌پذیری می‌تواند به‌صورت راه دور کد دلخواه موردنظر خود را اجرا کند.
در این گزارش به زبان ساده خطرات این آسیب‌پذیری، نحوه بررسی آسیب‌پذیربودن سیستم و به‌روزرسانی آن را شرح خواهیم داد.

آسیب‌پذیری در CryptoAPIویندوز و نحوه رفع آن به زبان ساده

 

در روزهای گذشته خبر آسیب‌پذیری با شناسه CVE-2020-0601 در سیستم عامل ویندوز 10 و ویندوز سرور 2016 و 2019 یکی از اخبار جالب و بسیار نگران کننده بود. جالب از این جهت که این آسیب‌پذیری را اولین بار NSA  اعلام کرد و نگران کننده از این جهت که NSA اعلام کرد! سازمانی که خود سابقه تاریکی در جاسوسی از شهروندان امریکایی و غیر امریکایی دارد این آسیب‌پذیری را اعلام کرد و احتمالاً به این دلیل است که NSA متوجه شده هکرهای سایر کشورها مانند روسیه یا چین هم از این آسیب‌پذیری استفاده می‌کنند و با اعلام آن سعی کرده در کار آنها اختلال ایجاد کند وگرنه NSA چندان خیر خواه امنیت دیگران نیست. در آسیب‌پذیری MS17-10 یا همان  EternalBlue هم با اینکه NSA مدت‌ها قبل آسیب‌پذیری را کشف کرده بود اما آن را اعلام نکرده بود و سال‌ها از آن استفاده می‌کرد تا اینکه پس از نفوذ گروه Shadow Brokers به NSA این مورد را منتشر کرد .