‫ اطلاع‌رسانی‌ها

شرکت #میکروتیک روز گذشته خبر از شناسایی آسیب پذیری جدیدی در همه نسخه‌های RouterOS  از ورژن 6.29 تا 6.43rc3 داد.این آسیب پذیری مربوط به پورت نرم افزار (Winbox (8291 می باشد. در صورتی که این پورت از پیش بر روی شبکه اینترنت فعال بوده لازم است اقدامات زیر صورت پذیرد:

• با اعمال قوانین مناسب فایروال و یا در قسمت IP> Services  دسترسی به سرویس #winbox  را محدود به  آدرس‌های شناخته شده از شبکه خود نمایید.

• روتر خود را به اخرین نسخه ارائه شده بروزرسانی کنید.

• رمز عبور دستگاه خود را عوض کنید.

برای دریافت جزییات بیشتر کلیک نمایید.

بر اساس رصد صورت گرفته حملات #فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار #برنامک_های_اندرویدی مخرب یا جعلی صورت می‌‌ پذیرد. لذا توصیه ‌های زیر جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد می‌گردد:

• پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها 
• حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر. لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد
• توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.
• درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبر می‌باشند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert [@] certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.
• توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارائه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است.

 دریافت پیوست

Adobe به‌روزرسانی امنیتی جدیدی را منتشر ساخته است که 19 آسیب‌پذیری‌‌‌ بحرانی در محصولاتی همچون Adobe_Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونه‌ی Adobe PhoneGap Push را برطرف می‌سازد.
Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی 29.0.0.113 Adobe Flash Player و پیش از آن را در سیستم‌‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد. در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-2018-4932) و دو خطای نوشتن خارج از نوبت (CVE-2018-4935 و CVE-2018-4937). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد شوند. علاوه‌براین، Adobe دو اشکال خواندن خارج از نوبت (CVE-2018-4933 و CVE-2018-4934) و همچنین یک اشکال سرریز پشته (CVE-2018-4936) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.
سه آسیب‌پذیری در Adobe Experience Manager نیز رفع شده‌اند. این به‌روزرسانی نسخه‌های 6.0 تا 6.3 را تحت‌تأثیر قرار می‌دهد و یک آسیب‌‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE-2018-4929) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE-2018-4930, CVE-2018-4931) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE-2018-4928) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیب‌‌پذیری مسیر جستجوی نامعتبر (CVE-2018-4927) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد می‌تواند منجر به افزایش مجوز‌های محلی شود.
در Adobe Digital Edition نیز دو آسیب‌پذیری CVE-2018-4925 و CVE-2018-4926 وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های 4.5.7 و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.
مجموعه‌ای از آسیب‌پذیری‌های مربوط به ColdFusion نیز برطرف شده‌اند. این اشکالات در نسخه‌ی 2016 ColdFusion به‌روزرسانی 5 و پیش‌ از آن، همچنین ColdFusion 11، به‌روزرسانی 13 و نسخه‌های قبل از آن وجود دارند. دو آسیب‌پذیری بحرانی CVE-2018-4939 و CVE-2018-4942 اشکالاتی هستند که اجازه‌ی بی‌نظمی در اطلاعات غیرقابل‌اعتماد و پردازش موجودیت خارجی XML ناامن را می‌‌دهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد و افشای اطلاعات شوند.
Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE-2018-4938)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE-2018-4940) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-2018-4941) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است.
این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی 2.1.0 برنامه‌‌های PhoneGap  پلاگین Push وجود دارد را حل می‌کند.
Adobe  به کاربران توصیه می‌کند که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.

وصله‌ی #آسيب‌پذيری‌های_بحرانی #محصولات_Adobe

در روزهای گذشته اوراکل به‌روزرسانی وصله‌ی حیاتی (CPU) را منتشر کرد که در آن آسیب‌پذیری موجود در Oracle WebLogic Server(#CVE_2018_2628)، که امکان اجرای بدون مجوز کد از راه دور را فراهم می‌کرد، اصلاح شده است.
در این آسیب‌پذیری مهاجم غیرمجاز می‌تواند از طریق ارسال شیء جاوا، که به‌طور خاص ایجاد شده است، به پورت 7001 TCP در ترافیک پروتکل T3 (پروتکل اختصاصی Oracle)، از این آسیب‌پذیری سوءاستفاده کند. 
مهاجم با سوءاستفاده از این نقص اجازه پیدا می‌کند که دستورات دلخواهخود را از راه دور اجرا و مجوزهای بیشتری به‌دست آورد و درنتیجه موفق به کنترل و به دست گرفتن  Oracle WLS گردد.  
این آسیب‌پذیری دارای امتیاز CVSS  9.8 از 10 است و نسخه‌های Weblogic server 10.3.6.0, 12.1.3.0, 12.2.1.2 و 12.2.1.3 را تحت تأثیر قرار می‌دهد. 
احتمال دارد نسخه‌های قبلی نیز تحت تأثیر این آسیب‌پذیری‌ها قرار گیرند؛ درنتیجه اوراکل توصیه می‌کند مشتریان، نسخه‌های خود را  به نسخه‌های اصلاح‌شده ارتقاء دهند. همچنین به مراکز عملیات امنیتی (SOC) توصیه می‌شود برای مشاهده افزایش ترافیک در پورت 7001 TCP، نظارت لازم را داشته باشند.

اصلاح #آسيب‌پذيری موجود در #WebLogic_Server توسط #اوراکل

#Cisco_USC_Director  یکی از راه‌حل‌های شرکت سیسکو جهت مراکزداده مبتنی بر سرویس‌های ابری می‌باشد، که از بخش‌ها و قابلیت‌های مختلفی تشکیل شده‌است، این ابزار از طریق مدیریت متمرکز و یکپارچه شبکه و مرکز داده در لایه‌های مختلف پیاده‌سازی می‌شود، لذا به بخش‌های مختلفی در شبکه و مراکز داده متصل می‌گردد که از اهمیت و حساسیت بالایی برای استفاده کنند‌گان برخوردار می‌باشد.
آسیب‌پذیری بحرانی با کد #CVE_2018_0238 در خصوص این سیستم متنشر شده‌است که در ادامه بیان می‌گردد:
آسیب پذیری مربوط به Role-based resource checking functionality در بخش مدیر سیستم USM می‌باشد، که طبق اطلاعات منتشر شده مهاجمان از راه‌دور می‌توانند اطلاعات غیرمجاز هر ماشین‌مجازی در بخش پورتال کاربران USM را مشاهده و هر عملیاتی دلخواه را در ماشین‌های مجازی هدف انجام دهند.
آسیب‌پذیری فوق ناشی از عدم تایید هویت صحیح کاربران می‌باشد. جهت سوء استفاده از این آسیب‌پذیری مهاجمان می‌توانند با استفاده از نام‌کاربری تغییر یافته (متعلق به دیگر کاربران) و رمز عبور معتبر و در دسترس، وارد سیستم مدیریتی UCS شوند. لذا مهاجمان به تمامی پیکربندی‌ها و دیگر اطلاعات حساس دسترسی داشته و می‌تواند هرگونه اقدامی علیه ماشین‌های مجازی انجام دهند.
نسخه‌های آسیب‌پذیری:
این آسیب پذیری بر روی سیستم های UCS با نسخه 6.0 و 6.5 قبل از Patch 3  که دارای پیکربندی پیش فرض هستند، تاثیر می گذارد.
آسیب‌پذیری بیان شده از طریق رابط کاربری وب سیستم مورد سوء استفاده قرار می‌گیرد. (رابط کاربری Rest API آسیب‌پذیری و تحت تاثیر قرار نمی‌گیرد.)
لازم به ذکر است که هر دو نوع روش‌های احرازهویت به صورت محلی و از طریق سرویس‌دهنده‌های LDAP می‌توانند مورد سوء استفاده قرار گیرند.
راه حل:
این آسیب پذیری در نسخه Cisco UCS Director 6.5.0.3 وصله شده‌است، که مدیران شبکه نیاز به به‌روز رسانی سیستم‌های خود دارند. مسیر دریافت آخرین نسخه به‌روز رسانی شده، در سایت شرکت سازنده در مسیر زیر می‌باشد.
•    Products > Servers - Unified Computing > UCS Director > UCS Director 6.5 > UCS Director Virtual Appliance Software-6
دیگر اطلاعات در آدرس زیر توسط شرکت سازنده در دسترس می‌باشد:
•    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-uscd
#آسیب_پذیری بحرانی شرکت #سیسکو

محصول #Cisco_WebEx یکی از راه‌حل‌های پرطرفدار در راه‌اندازی سرویس‌های کنفرانس تحت وب با تنوع سرویس‌ها و خدمات نظیر پشتیبانی از تمام ارتباطات صوتی، ویدیویی و به اشتراک گذاری اسناد و غیره می‌باشد.
آسیب‌پذیری بحرانی با کد #CVE_2018_0112 در خصوص این سیستم متنشر شده‌است که در ادامه بیان می‌گردد:
آسیب پذیری در بخش‌های سیستم‌ هدف از قبیل WebEx Business Suite clients، WebEx Meetings و WebEx Meetings Server could می تواند به مهاجم اجازه اجرای کدهای مخرب از راه دور بر روی سیستم هدف را بدهد در نتیجه کنترل سیستم را در اختیار بگیرد.
این آسیب پذیری ناشی از اعتبارسنجی نادرست داده های ورودی توسط WebEx Clients است. مهاجم می‌تواند از این آسیب پذیری از طریق قابلیت به اشتراک گذاری فایل‌، با یک فایل فلش (.swf) مخرب سوء استفاده کند. بهره برداری از این آسیب پذیری می تواند منجر به اجرای کد دلخواه مهاجم در سیستم هدف گردد.
نسخه های آسیب پذیر:
تمامی استفاده کنندگان از نسخه‌های نرم‌افزاری زیر آسیب‌پذیری می‌باشند.
•        Cisco WebEx Business Suite (WBS31) client builds prior to T31.23.2
•        Cisco WebEx Business Suite (WBS32) client builds prior to T32.10
•        Cisco WebEx Meetings with client builds prior to T32.10
•        Cisco WebEx Meetings Server builds prior to 2.8 MR2
راه حل:
به‌روز رسانی سرویس‌دهنده‌های مورد استفاده توسط مدیران شبکه به آخرین نسخه‌ی منتشر شده توسط شرکت سازنده
دیگر اطلاعات در آدرس زیر توسط شرکت سازنده در دسترس می‌باشد:
•    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs
راهنمای وصله #آسیب_پذیری بحرانی #سیسکو 

#جـدول_آخـرین_به‌روزرسـانـی‌ها_و_آسـیب‌پذیـری‌های_نـرم‌افـزارهای_پرکاربرد_در_کشور(فروردین_ماه_1397)

دریافت جدول

#باج‌افزار_Crysis برای اولین بار در سال 2016 مشاهده شد و به تازگی نیز در میان کاربران ایرانی شایع شده است. این باج‌افزار از تنظیمات ناامن #RDP (کنترل دسکتاپ از راه دور) سوء استفاده می‌کند و با به‌دست آوردن نام کاربری و رمز عبور کاربران به سیستم قربانی از راه دور دسترسی پیدا کرده و فایل اجرایی خود را به صورت دستی در سیستم قربانی اجرا می‌کند. رمزعبورهای ضعیف تنظیم شده برای RDP راه ورود این باج‌افزار به سیستم را بسیار آسان می‌کند.

دریافت پیوست

اخیرا #آسیب_پذیری با هدف سرویس Quality of Service  در سیستم عامل IOS و IOS XE تجهیزات #سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصه‌ی #CVE_2018_0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "#عدم بررسی مرزحافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP:18999دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.

▪️دستگاه های آسیب پذیر

سرویس و پورت آسیب‌پذیر بصورت پیش‌فرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت #DMVPN  و نسخه‌ای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیب‌پذیری هستند. 
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.

▪️جهت مسدود سازی این آسیب‌پذیری می توانید با استفاده از #ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos
 

پیرو انتشار توصیه نامه اخیر #سیسکو به تاریخ ۹ آپریل درخصوص نقص امنیتی در قابلیت #Smart_Install، به اطلاع می رساند بنابر اعلام این شرکت، در برخی از محصولات، غیرفعالسازی قابلیت با استفاده از دستور no vstack در هربار راه‌اندازی مجدد (reload) دستگاه لغو گشته و سرویس Smart Install مجددا فعال می‌گردد. تجهیزات تحت تاثیر این نقص عبارتند از:

▫️ Cisco Catalyst 4500 and 4500-X Series Switches: 3.9.2E/15.2(5)E2

▫️ Cisco Catalyst 6500 Series Switches: 15.1(2)SY11, 15.2(1)SY5, 15.2(2)SY3

▫️ Cisco Industrial Ethernet 4000 Series Switches: 15.2(5)E2, 15.2(5)E2a

▫️Cisco ME 3400 and ME 3400E Series Ethernet Access Switches: 12.2(60)EZ11

 لذا اکیدا توصیه می گردد در صورت استفاده از این تجهیزات نسبت به #بروزرسانی_IOS و یا استفاده از #ACL بمنظور مسدود سازی ترافیک ورودی به #پورت__4786_TCP تجهیز اقدام نمایید.

توضیحات بیشتر:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180409-smi