اخبار داخلی آرمان داده پویان

مقالات

گزارش تهدیدات امنیتی فورتی‌گارد

گزارش تهدیدات امنیتی فورتی‌گارد

۱۱ ژانویه ۲۰۱۹

در این مطلب قصد داریم تا خلاصه‌ای از گزارش امنیتی آزمایشگاه فورتی گارد را در اختیار شما قرار داده و به موجب این گزارش مخاطبین خود را با تهدیدات امنیتی مشاهده شده‌ی اخیر آشنا نماینم. در این گزارش با جزئیات آسیب‌پذیری و بروزرسانی‌های ارائه شده آشنا خواهید شد.

بروزرسانی‌های مایکروسافت

مایکروسافت بروزرسانی‌های ماه ژانویه را منتشر کرد، ۴۹ و ۲ advisory ارائه شد. از این آسیب‌پذیری‌ها، هفت آسیب‌پذیری بحرانی است که یک مهاجم با استفاده از آن‌ها از راه دور می‌تواند دستورات مورد نظرش را اجرا نموده و کنترل سیستم قربانی را به دست بگیرد. برای اطلاعات بیشتر می‌توانید به آسیب‌پذیری‌های اعلام شده مایکروسافت در ژانویه ۲۰۱۹ مراجعه نمایید. محققان آزمایشگاه فورتی‌گارد، یکی از این آسیب‌پذیری‌ها به شماره مرجع CVE-2019-0538 را کشف کرده است. یک مهاجم زمانی که از این آسیب‌پذیری به صورت موفقیت آمیزی استفاده می‌کند می‌تواند کدهای مورد نظرش را بر روی سیستم قربانی اجرا نماید.

آسیب‌پذیری به شماره مرجع CVE-2018-8653 که در اواسط دسامبر اعلام شد یک آسیب‌پذیری مربوط به موتور اسکرپتینگ است که وظیفه‌اش مدیریت اشیا در حافظه در Internet Explorer می‌باشد. این آسیب‌پذیری می‌تواند موجب اختلال در عملکرد حافظه گردد به گونه‌ای که مهاجم بتواند کدهای مورد نظرش را اجرا نماید. این موضوع بدین معنی است که مهاجم با استفاده از این آسیب‌پذیری می‌تواند کنترل سیستم قربانی را به دست بگیرد.

در یک سناریو Web-based، یک مهاجم می‌تواند از طریق یک سایت آلوده از آسیب‌پذیری موجود در مرورگر IE قربانی استفاده نماید. جلب نظر کاربر به این وب سایت آلوده از طریق فیشینگ می‌تواند صورت پذیرد. این آسیب‌پذیری در تمامی نسخه‌های IE از جمله نسخه‌های مربوط به ویندوز ۷، ویندوز ۱۰، ویندوز سرور ۲۰۰۸، ویندوز سرور ۲۰۱۲ و ویندوز سرور ۲۰۱۹ وجود دارد. متخصصان آزمایشگاه فورتی گارد به کاربران به شدت توصیه می‌نمایند که بروزرسانی‌های لازم را انجام دهند.

آسیب‌پذیری در Magento

محققان آزمایشگاه فورتی گارد به تازگی یک آسیب‌پذیری در Magento کشف کرده‌اند که به واسطه آن یک مهاجم می‌تواند حملات Cross-Site Scripting به راه انداخته و کدهای مورد نظرش را اجرا نماید. در نتیجه اجرای این کدها، مهاجم می‌تواند کنترل وب سایت قربانی را به دست گرفته و به اطلاعات حساس قربانی دست یابد. این آسیب‌پذیری XSS، نسخه تجاری ۲٫۱ و قبل از ۲٫۱٫۱۶ Magento را تحت تاثیر قرار می‌دهد. Magento دومین پلتفرم بزرگ تجارت الکترونیک در دنیاست و در نتیجه این آسیب‌پذیری می‌تواند اثرات بسیار مخربی داشته باشد.

بروزرسانی‌های Adobe

از دیگر اتفاقات مهم امنیتی در این ماه، انتشار دو بروزرسانی خارج از برنامه برای Adobe Acrobat و Reader بوده است. این بروزرسانی در سوم ژانویه منتشر شد و دو آسیب‌پذیری بحرانی به شماره‌های مرجع CVE-2018-16011،CVE-2018-16018 را برطرف کرد. همچنین هر دو این آسیب‌پذیری‌ها از طریق برنامه Zero Day Initiative گزارش شده است. همچنین Adobe اقدام به بروزرسانی Adobe Flash، Connect و نسخه دیجیتال Adobe در بروزرسانی‌های ژانویه خود، نمود.

رتبه

نام

میزان شیوع

۱

MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow

۲۷,۸۷۶

۲

D-Link.DSL-2750B.CLI.OS.Command.Injection

۲۰,۸۴۷

۳

Avtech.Devices.HTTP.Request.Parsing.Multiple.Vulnerabilities

۲۰,۵۵۱

۴

Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution

۱۹,۸۲۳

۵

PHPUnit.Eval-stdin.PHP.Remote.Code.Execution

۱۶,۰۳۷

آسیب‌پذیری در Java.Management

Java Management یکی از فناوری‌هایی می‌باشد که به صورت گسترده‌ای در محصولاتی مانند Cassandra/Apache, HP OpenView, IBM    Director, Zabbix,  و SolarWinds مورد استفاده قرار گرفته است. این فناوری اجازه مدیریت و پایش برنامه‌های کاربردی، دستگاه‌ها و اشیا سیستم‌ها را می‌دهد. نام این فناوری MBeans می‌باشد. بر روی یک ماشین مجازی جاوا این فناوری قادر به انجام وظایف متعددی از جمله جمع آوری داده‌های مربوط به میزان استفاده از منابع یا پارامترهای برنامه‌های کاربردی می‌باشد. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا از راه دور کدهای مورد نظرش را بر روی سیستم قربانی اجرا نماید.

آسیب‌پذیری در Symphony

Symfony یک فریم ورک PHP محبوب است که برای ساختن برنامه‌های کاربردی وب-بنیان و یا وب سایت‌ها می‌باشد. این فریم ورک محبوب دارای کمیته‌ای فعال متشکل از کاربران و توسعه دهندگان است.

در آگوست ۲۰۱۸، محققان امنیتی دریافتند که Symfony از یک سرآیند IIS پشتیبانی می‌نماید که به کاربران اجازه می‌دهد تا محدودیت‌های دسترسی تضمین شده که توسط مدیر سیستم برقرار شده است را دور بزند. برای برطرف کردن این آسیب‌پذیری که در نسخه‌های ۲٫۷٫۴۹، ۲٫۸٫۴۴، ۳٫۳٫۱۸، ۳٫۴٫۱۴، ۴٫۰٫۱۴  و ۴٫۱٫۳ وجود دارد، پشتیبانی از این سرآیند را متوقف کرد. محققان فورتی نت، خبر از افزایش فعالیت‌های مخرب مرتبط با این امضا را می‌دهند.

امضا: Drupal.Symfony.HTTP.request.header.Security.Bypass

رتبه

نام

درصد شیوع

۱

MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow

۲۷,۸۷۶

۲

D-Link.DSL-2750B.CLI.OS.Command.Injection

۲۰,۸۴۷

۳

Avtech.Devices.HTTP.Request.Parsing.Multiple.Vulnerabilities

۲۰,۵۵۱

۴

Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution

۱۹,۸۲۳

۵

PHPUnit.Eval-stdin.PHP.Remote.Code.Execution

۱۶,۰۳۷


از دیگر رخدادهای امنیتی این ماه، کمپین تبلیغاتی مخرب جدیدی است که از Vidar infostealer و GandCrab استفاده می‌نماید. البته این کمپین چندان جدید نیست و از اکسپلویت کیت‌های شناخته شده‌ای در آن استفاده شده است.

این کمپین از اکسپلویتی استفاده کرده است که از سارق اطلاعات Vidar استفاده می‌نماید. Vidar قادر به سرقت هر گونه جزئیاتی از سیستم قربانی می‌باشد. اطلاعاتی مانند  ( آدرس IP و اطلاعات مکانی)، اطلاعات مرتبط با کارت اعتباری و انواع کیف پول‌های ارزدیجیتال. سارق اطلاعات Vidar همچنین قادر به بارگذاری فایل‌ها نیز می‌باشد. سارق Vidar قادر به صدمه زدن به سیستم قربانی و بعد از آن بارگذاری باج افزار GandCrab در سیستم قربانی می‌باشد.

امضا: W32/GenKryptik.CVJJ!tr, W32/Vidar.BE!tr.pws

نشانگرها:

kolobkoproms[.]ug

ovz1[.]fl1nt1kk[.]10301[.]vps[.]myjino[.]ru

آرمان داده پویان ارائه دهنده محصولات و راهکارهای مبتنی بر فورتی نت در ایران

برای اطلاعات بیشتر تماس بگیرید

تعداد بازدید: 93


تازه ترین ها