چندین عامل تهدید مشاهده شده ‌اند که از 20 ژانویه 2023 به‌ طور فرصت‌ طلبانه یک آسیب‌ پذیری امنیتی حیاتی وصله ‌شده را که چندین محصول Zoho ManageEngine را تحت تأثیر قرار می ‌دهند، مسلح می‌ کنند.

نقص اجرای کد از راه دور که به‌عنوان CVE-2022-47966 ردیابی می‌شود ( امتیاز ( CVSS: 9.8 ، امکان تسخیر کامل سیستم‌های حساس توسط مهاجمان غیرقانونی را فراهم می‌کند.

24 محصول مختلف از جمله Access Manager Plus، ADManager Plus، ADSelfService Plus، Password Manager Pro، Remote Access Plus و Remote Monitoring and Management (RMM) تحت تاثیر این مشکل قرار دارند.

Martin Zugec  از Bitdefender در مشاوره فنی به اشتراک گذاشته شده با The Hacker News گفت : این نقص به دلیل استفاده از outdated third-party dependency برای اعتبارسنجی امضای  XML signature وApache Santuario امکان اجرای کد از راه دور غیرقابل تأیید را می دهد.

به گفته شرکت امنیت سایبری رومانیایی ، گفته می ‌شود که تلاش‌ های بهره ‌برداری از یک روز پس از انتشار proof-of-concept (PoC) شرکت آزمایش نفوذ Horizon3.ai در ماه گذشته آغاز شده است.

اکثر قربانیان حمله در استرالیا، کانادا، ایتالیا، مکزیک، هلند، نیجریه، اوکراین، بریتانیا و ایالات متحده هستند.

هدف اصلی حملات شناسایی شده تا به امروز حول نصب و گسترش نرم افزارهایی بر روی میزبان های آسیب پذیر مانند Netcat و Cobalt Strike Beacon  می چرخد.

برخی از نفوذها از دسترسی اولیه برای نصب نرم‌ افزار AnyDesk برای دسترسی از راه دور استفاده کرده اند ، در حالی که برخی دیگر سعی کرده‌ اند نسخه‌ ای از یک نوع باج ‌افزار به نام Buhti را نصب کنند .

Fortinet  بروزرسانی‌های امنیتی را برای رفع 40 آسیب‌پذیری در مجموعه نرم‌افزاری خود از جمله  FortiWeb ، FortiOS ، FortiNAC  و FortiProxy منتشر کرده است .

دو مورد از 40 نقص دارای رتبه بندی بحرانی، 15 مورد دارای رتبه بالا، 22 مورد دارای رتبه متوسط ​​و یکی دارای رتبه کم از نظر شدت هستند.

در بالای لیست یک اشکال شدید موجود در راه حل کنترل دسترسی شبکه  FortiNAC (CVE-2022-39952، امتیاز CVSS: 9.8) وجود دارد که می تواند منجر به اجرای کد دلخواه شود.

Fortinet در اوایل این هفته در مشاوره‌ای گفت : «یک کنترل خارجی نام فایل یا آسیب‌پذیری مسیر [CWE-73] در وب سرور FortiNAC ممکن است به مهاجمی که احراز هویت نشده اجازه نوشتن دلخواه روی سیستم را بدهد.»

محصولات تحت تاثیر این آسیب پذیری به شرح زیر است –

•     FortiNAC نسخه 9.4.0
•     FortiNAC نسخه 9.2.0 تا 9.2.5
•     FortiNAC نسخه 9.1.0 تا 9.1.7
•     FortiNAC 8.8 همه نسخه ها
•     FortiNAC 8.7 همه نسخه ها
•     FortiNAC 8.6 همه نسخه ها
•     FortiNAC 8.5 همه نسخه ها و
•     FortiNAC 8.3 همه نسخه ها

پچ ها در نسخه های  FortiNAC 7.2.0، 9.1.8، 9.1.8 و 9.1.8 منتشر شده اند. شرکت تست نفوذ Horizon3.ai گفت که قصد دارد به زودی یک کد proof-of-concept (PoC)  برای این نقص منتشر کند، که باعث می‌شود کاربران به سرعت برای اعمال به‌روزرسانی‌ها حرکت کنند.

دومین نقص قابل توجه ، مجموعه‌ای از stack-based buffer overflow در proxy daemon FortiWeb ، امتیاز (CVE-2021-42756, CVSS score: 9.3)  است که می‌تواند یک مهاجم احراز هویت نشده  رااز راه دور قادر به اجرای کد دلخواه از طریق درخواست‌های HTTP ساخته شده خاص کند.

CVE-2021-42756 بر نسخه‌های FortiWeb زیر تأثیر گذاشته و با اصلاحات موجود در نسخه‌های FortiWeb 6.0.8، 6.1.3، 6.2.7، 6.3.17 و 7.0.0 –

•     6.4    FortiWeb همه نسخه ها
•     نسخه های FortiWeb 6.3.16 و پایین تر
•     نسخه های FortiWeb 6.2.6 و پایین تر
•     نسخه های FortiWeb 6.1.2 و پایین تر
•     نسخه های FortiWeb 6.0.7 و پایین تر و
•     نسخه های فورتی وب 5.x همه نسخه ها

فورتی نت گفته که هر دو نقص به صورت داخلی کشف و توسط تیم امنیتی محصول آن گزارش شده است. جالب اینجاست که به نظر می رسد CVE-2021-42756 نیز در سال 2021 شناسایی شده است اما تاکنون به طور عمومی فاش نشده است.

خبر ساقط شدن یک بالون جاسوسی منتصب به چین بر فراز ایالات‌متحده، علاقه به نحوه جاسوسی دولت‌ها و ملت‌ها از یکدیگر را برانگیخته است.

البته اینکه این بالون بر فراز مناطق نظامی ایالات‌متحده شناور بوده و قصد جاسوسی داشته تأیید نشده است. چین اعلام کرده است که این یک کشتی هوایی غیرنظامی بوده که برای تحقیقات آب و هوایی مستقر شده و در خارج‌ازمسیر باد منفجر شده است. بااین‌وجود، اتهام تهدید بالقوه جاسوسی ایالات‌متحده را در آغوش گرفته است.

و این موضوعی منطقی است. نمی‌توان در مورد اهمیت هوشمندی‌های مختلف اغراق کرد. کشورها بر اساس آن تصمیمات مهم سیاسی، اقتصادی و نظامی می‌گیرند.

درحالی‌که مردم ممکن است در مورد ایده استفاده از یک بالون برای شناور شدن غیرفعال بالای یک کشور برای جاسوسی از آن بخندند، واقعیت این است که وقتی صحبت از برتری بر دشمنان شما می‌شود، همه‌چیز پیشروی خواهد کرد؛ بنابراین، چه راه‌هایی وجود دارد که ملت‌ها امروز اطلاعات را جمع‌آوری می‌کنند؟

یکی از راهبرد‌های اصلی جمع‌آوری اطلاعات، جاسوسی از طریق سیگنال‌ها است. این موضوع شامل استفاده از انواع فناوری‌های زمینی و فضایی برای هدف‌گیری سیگنال‌ها و ارتباطاتی است که از دستگاه یا دستگاه‌های هدف می‌آیند.

نتایجی که «محصول» نامیده می‌شود، اغلب اطلاعات بسیار حساسی را نشان می‌دهد که توضیح می‌دهد که چرا اطلاعات سیگنال‌ها نیز بحث‌برانگیزترین شکل جاسوسی است.

کشورهایی که این قابلیت را به سمت درون خود می‌برند، با انتقاد فزاینده‌ای از سوی کسانی که در شبکه گیر افتاده‌اند و از سوی شهروندانی که به حفظ حریم خصوصی اهمیت می‌دهند، مواجه خواهند شد. در سال 2013، ادوارد اسنودن استفاده آژانس امنیت ملی ایالات‌متحده از اطلاعات سیگنال‌ها را برای جمع‌آوری داده‌های انبوه از مردم فاش کرد. دولت ایالات‌متحده از آن زمان برای متقاعد کردن شهروندان تلاش کرده عنوان کند که اقدامات آژانس امنیت ملی این کشور عمدتاً بر پایه جمع‌آوری‌های خارجی متمرکز بوده است.

کاخ سفید نیز اخیراً فرمان اجرایی در این زمینه منتشر کرده است.

جاسوسی ژئوفضایی به فعالیت‌های انسانی در سطح و زیرزمین، ازجمله آبراه‌ها، مربوط می‌شود. به‌طورکلی این جاسوسی بر ساخت‌وسازهای نظامی و غیرنظامی، تحرکات انسانی (مانند جابجایی پناهندگان و مهاجران) و استفاده از منابع طبیعی متمرکز است.

اطلاعات ژئوفضایی از اطلاعات به‌دست‌آمده از طریق ماهواره‌ها، هواپیماهای بدون سرنشین، هواپیماهای ارتفاع بالا و بله حتی بالن‌ها بهره‌برداری می‌کند!

بالن‌های جاسوسی می‌توانند نه‌تنها تصاویر و سیگنال‌ها، بلکه تجزیه‌وتحلیل‌های شیمیایی هوا را نیز جمع‌آوری کنند. آن‌ها متداول نیستند، زیرا این رویکرد فاقد قابلیت انکار قابل‌قبول است و همان‌طور که دیدیم، بالون‌ها به‌راحتی مشاهده و ساقط خواهند شد. از سوی دیگر، احتمال ردیابی آن‌ها در فضای رادار کم بوده، ارزان هستند و می‌توانند بی‌ضرر به نظر برسند.

ازجمله جاسوسی‌های با ارتباط تنگاتنگ با جاسوسی ژئوفضایی، می‌توان جاسوسی تصویری را نام برد که اغلب با استفاده از ماهواره‌ها، پهپادها و هواپیماها انجام می‌شود.

نتیجه این روش اطلاعاتی است که از مجموعه بالای تصاویر فعالیت‌های غیرنظامی و نظامی به دست می‌آید. اطلاعات تصویری اغلب بر حرکات استراتژیک نیروها و سیستم‌های تسلیحاتی متمرکز است و به‌طور خاص پایگاه‌های نظامی، زرادخانه‌های هسته‌ای و سایر دارایی‌های استراتژیک را هدف قرار می‌دهد.

یکی از شکل‌های بسیار فنی جمع‌آوری اطلاعات که به‌ندرت به آن اشاره می‌شود، جاسوسی از طریق اندازه‌گیری و ردیابی است. این دسته شامل اطلاعاتی است که از ردیابی الکترومغناطیسی منحصربه‌فرد راکت‌ها، سیستم‌های فرماندهی و کنترل، سیستم‌های رادار و تسلیحاتی و سایر تجهیزات نظامی و غیرنظامی به دست می‌آید.

جمع‌آوری داده‌ها با استفاده از ابزارهای پیشرفته انجام می‌شود که به‌طور خاص برای شناسایی و طبقه‌بندی تابش‌های الکترومغناطیسی طراحی شده‌اند. در میان سایر روش‌ها، این شکل از جمع‌آوری اطلاعات امکان شناسایی از راه دور استقرار سلاح‌ها و اطلاعات دقیق در سکوهای فضایی را فراهم خواهد کرد.

جاسوسی سایبری عموماً با اطلاعات سیگنال‌ها ترکیب می‌شود، اما ازاین‌جهت متمایز است که از تعامل مستقیم انسانی (مانند هکرها) برای نفوذ به سیستم‌های محافظت‌شده و دسترسی به داده‌ها استفاده می‌کند.

جاسوسی سایبری به جمع‌آوری آشکار و پنهان اطلاعات از شبکه‌های دوستانه و متخاصم اشاره دارد. می‌توان آن را از طریق جمع‌آوری سیگنال‌ها، بدافزارها یا از طریق دسترسی غیرمجاز مستقیم هکرها به سیستم به دست آورد. کشورها حتی ممکن است شبکه‌های متحدان خود را نیز هدف قرار دهند.

یکی از نمونه‌های جاسوسی سایبری، سرقت اطلاعات دفتر مدیریت کارکنان ایالات‌متحده در سال 2015 بود. این سرقت برای جمع‌آوری تمام اطلاعات موجود در مورد کارکنان دولت و ارتش ایالات‌متحده که برای مجوز امنیتی غربالگری شده بودند، طراحی شده بود.

جدیدترین رشته مجموعه اطلاعات، جاسوسی منبع باز است. در اواخر دهه 1980، جاسوسی منبع باز از منابع اولیه مختلفی مانند روزنامه‌ها، وبلاگ‌ها، پست‌ها و گزارش‌های رسمی و منابع ثانویه مانند افشای اطلاعات در سایت‌هایی ازجمله ویکی لیکس ( WikiLeaks ) ، اینترسپت (The Intercept) و رسانه‌های اجتماعی به دست می‌آمد.

اگرچه این اطلاعات به‌راحتی در دسترس‌اند، اما تبدیل آن به اطلاعات قابل‌اجرا به ابزارهای خاصی مانند وب اسکراپر و استخراج‌کننده داده و همچنین تحلیلگران آموزش‌دیده‌ای نیاز دارد که می‌توانند ارتباط بین مجموعه داده‌های بزرگ را پیدا کنند.

جاسوسی انسانی قدیمی‌ترین شکل جمع‌آوری اطلاعات و شاید شناخته‌شده‌ترین روش است. جاسوس‌ها به‌طورکلی به سه دسته تقسیم می‌شوند:

1. افسران اطلاعاتی اعلام‌شده (علنی)
2. افرادی که تحت پوشش رسمی کار می‌کنند، مانند جاسوسانی که به‌عنوان دیپلمات، کارکنان نظامی و سفارتی و یا کارکنان پشتیبانی غیرنظامی کار می‌کنند.
3. جاسوسان غیررسمی تحت پوشش که اغلب ظاهراً در سمت‌های تجاری، دانشگاهی و تجاری کار می‌کنند.

افسران جاسوسی، شهروندان یک کشور را برای جاسوسی آگاهانه یا ناخواسته و اداره عوامل شهروندان همکار یک کشور میزبان برای حمایت از اهداف استراتژیک کشورشان، استخدام می‌کنند.

به لطف اینترنت و شبکه تاریک یا همان دارک وب، ما اکنون اطلاعات انسانی مبتنی بر سایبری داریم که به جاسوسان اجازه می‌دهد تا دارایی‌ها و منابع را از امنیت کشور خود ارزیابی، استخدام و کار کنند. این موضوع حتی در وب‌سایت‌هایی مانند لینکدین هم ممکن است رخ دهد.

درحالی‌که جمع‌آوری اطلاعات به کمک یک بالن هواشناسی سرگردان به نظر می‌رسد اقدامی نسبتاً آشفته باشد، آخرین رویدادها ما را به یاد جنگ دائمی برای اطلاعاتی که کشورها به راه انداخته‌اند، می‌اندازند. تحلیلگران پس از جنگ در اوکراین در حال بررسی مجموعه‌ای از اطلاعات برای مقایسه سیستم‌های تسلیحاتی روسیه، چین و ایران با اوکراین و حامیان ناتو هستند.

ازآنجایی‌که جهان همچنان با چالش‌های جدیدی ازجمله تغییرات آب و هوایی و توسعه سریع فناوری‌های جدید مواجه است، تمرکز اطلاعاتی کشورها احتمالاً برای همگام شدن با آن‌ها باید گسترش یابد.

سیستم های  Critix ( سیتریکس ) آپدیت امنیتی را برای آسیب پذیری های موجود در اپلیکیشن های مجازی، دسکتاپ و اپلیکیشن های فضای کار خود منتشر کرده است.

این نقص های امنیتی اصلاح شده بسیار جدی به حساب می آیند چرا که این امکان را به مهاجمین می دهند تا به مورد نظر خود دسترسی محلی پیدا کنند و با افزایش سطح دسترسی، کنترل سیستم های آلوده را در دست بگیرند.

محصولات شرکت سیتریکس به صورت گسترده مورد استفاده سازمان های سرتاسر دنیا قرار دارند. بنابراین اعمال آپدیت های امنیتی در آن ها از جمله اقدامات ضروری به حساب می آید و می تواند دسترسی آسان هکرها به سیستم های تحت رخنه را مسدود کند.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا یا همان سیسا نیز هشداری را مبنی بر اعمال هر چه سریع تر آپدیت های امنیتی سیتریکس منتشر کرده است.

آسیب پذیری های اصلاح شده سیتریکس عبارتند از:

• CVE-2023-24483
• CVE-2023-24484
• CVE-2023-24485
• CVE-2023-24486
• CVE-2023-24483

سیتریکس به مشتریان توصیه کرده تا نسخه اصلاح شده را هر چه سریع تر نصب کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

تیم وردپرس این هفته از انتشار نسخه 6.0.2 سیستم مدیریت محتوا (CMS) با پچ‌های سه باگ امنیتی، از جمله آسیب‌پذیری تزریق SQL با شدت بالا خبر داد.

این مشکل در عملکرد لینک وردپرس، که قبلاً به عنوان «Bookmarks» شناخته می‌شد، شناسایی گردید، این مشکل تنها بر نصب‌های قدیمی‌تر تأثیر می‌گذارد، زیرا این قابلیت به طور پیش‌فرض در نصب‌های جدید غیرفعال است.

تیم Wordfence در شرکت امنیتی وردپرس با نام Defiant می‌گویند: “با این حال، این عملکرد ممکن است همچنان در میلیون‌ها سایت قدیمی وردپرس فعال باشد، حتی اگر آن‌ها نسخه‌های جدیدتر CMS را اجرا کنند.”

مجموعه Wordfence در ادامه می‌گوید: “با امتیاز CVSS 8.0، نقص امنیتی به اختیارات مدیریتی نیاز دارد و در پیکربندی‌های پیش‌فرض به راحتی نمی‌توان از آن بهره‌برداری کرد، اما ممکن است پلاگین‌ها یا تم‌هایی وجود داشته باشند که به کاربرانی با اختیارات پایین‌تر (مانند سطح ویرایشگر و پایین‌تر) اجازه راه‌اندازی آن را می‌دهند.”

مجموعه Wordfence توضیح می‌دهد: «نسخه‌های آسیب‌پذیر وردپرس نتوانستند آرگومان محدود جستجوی بازیابی لینک را در فانکشن get_bookmarks که برای اطمینان از بازگشت تعداد معینی از پیوند‌ها استفاده می‌شود، با موفقیت پاکسازی کنند.

در پیکربندی پیش‌فرض، تنها ویجت قدیمی Links فانکشن را به گونه‌ای فراخوانی می‌کند که کاربر بتواند آرگومان حد را تنظیم کند. با این حال، به دلیل حفاظت در ویجت‌های قدیمی، این آسیب‌پذیری برای بهره‌برداری بی‌اهمیت است.

هر دو آسیب‌پذیری باقی‌مانده در وردپرس 6.0.2 باگ‌های اسکریپت‌نویسی متقابل سایت (XSS) با شدت متوسط ​​هستند که به دلیل استفاده از عملکرد «the_meta» و خطا‌های غیرفعال‌سازی و حذف افزونه ایجاد می‌شوند.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای اسکریپت‌های تزریق شده در کلید‌ها و مقادیر پست یا کد جاوا اسکریپت در پیام‌هایی شود که هنگام غیرفعال شدن یا حذف افزونه‌ها به دلیل خطا نمایش داده می‌شوند.

به ادمین‌های وب‌سایت‌ها توصیه می‌شود در اسرع وقت نسخه‌های خود را به وردپرس 6.0.2 بروزرسانی کنند (بروزرسانی به طور خودکار به سایت‌هایی که از بروزرسانی‌های پس‌زمینه پشتیبانی می‌کنند ارائه می‌شود). تیم وردپرس خاطرنشان می‌کند که پچ‌ها به وردپرس 3.7 و نسخه‌های جدیدتر بکپورت شده‌اند.

مجموعه VMware و کارشناسان از کاربران می‌خواهند چندین محصول را که تحت تأثیر یک آسیب‌پذیری حیاتی بای پس احراز هویت قرار گرفته‌اند پچ کنند، که می‌تواند به مهاجم اجازه دسترسی مدیریتی و ادمین به سیستم و همچنین سواستفاده از سایر نقص‌ها را بدهد.

به گفته محققان، این باگ که با نام CVE-۲۰۲۲-۳۱۶۵۶ پیگیری می‌شود، امتیاز 9.8 را در CVSS کسب کرد و یکی از معدود اصلاحاتی است که این شرکت در محصولات مختلف در بروزرسانی منتشر شده در روز سه‌شنبه برای نقص‌هایی که به راحتی می‌تواند به یک زنجیره سواستفاده تبدیل شود، انجام داده است.

باگ CVE-۲۰۲۲-۳۱۶۵۶ نیز مطمئناً خطرناک‌ترین عضو این آسیب‌پذیری‌ها است، و احتمالاً بیشتر خواهد شد زیرا محققی که آن را کشف کرده است (Petrus Viet از VNG Security) در توییتی قول داده است که یک سواستفاده proof-of-concept برای این باگ به زودی مطرح می‌شود.

به گفته محققان، این امر هم‌اکنون به نیاز سازمان‌های آسیب‌دیده از این نقص برای اصلاح فوریت می‌بخشد.

کلر تیلیس، مهندس تحقیقات ارشد تیم پاسخگویی امنیتی Tenable در‌ ایمیلی به Threatpost گفت: «با توجه به شیوع حملاتی که آسیب‌پذیری‌های VMware را هدف قرار می‌دهند و proof-of-concept آینده، سازمان‌ها باید پچ نمودن CVE-۲۰۲۲-۳۱۶۵۶ را در اولویت قرار دهند. به عنوان یک دور زدن احراز هویت، بهره‌برداری از این نقص این احتمال را ایجاد می‌کند که مهاجمان می‌توانند زنجیره‌های سواستفاده بسیار دردسرسازی را ایجاد کنند. »

پتانسیل برای زنجیره حمله
به طور خاص، CVE-۲۰۲۲-۳۱۶۵۶ یک آسیب‌پذیری بای پس احراز هویت است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد.

طبق پست وبلاگی که تیلیس منتشر کرد، این اشکال بر کاربران دامنه محلی تأثیر می‌گذارد و مستلزم آن است که یک مهاجم راه دور باید به یک رابط کاربری آسیب‌پذیر دسترسی داشته باشد. او گفت، هنگامی که مهاجم به این امر دست یابد، می‌تواند از این نقص برای دور زدن احراز هویت و دسترسی ادمین استفاده کند.

تیلیس مشاهده کرد، علاوه بر آن، این آسیب‌پذیری دروازه‌ای برای بهره‌برداری از سایر نقص‌های اجرای کد از راه دور (RCE) است که با انتشار این هفته VMWare ( CVE-۲۰۲۲-۳۱۶۵۸ و CVE-۲۰۲۲-۳۱۶۵۹ ) برای تشکیل یک زنجیره حمله مورد بررسی قرار گرفت.

باگ CVE-۲۰۲۲-۳۱۶۵۸ یک آسیب‌پذیری RCE تزریقی JDBC است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد که امتیاز «مهم» را در CVSS-8.0 کسب کرده است. این نقص به یک عامل مخرب با دسترسی ادمین و شبکه اجازه می‌دهد تا RCE را راه‌اندازی کند.

باگ CVE-۲۰۲۲-۳۱۶۵۹ یک آسیب‌پذیری RCE تزریق SQL است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار می‌دهد و همچنین امتیاز 8.0 را با مسیر حمله مشابه CVE-۲۰۲۲-۳۱۶۵۸ کسب کرده است.

شش اشکال دیگر پچ شده در این بروزرسانی شامل یک اشکال RCE دیگر (CVE-۲۰۲۲-۳۱۶۶۵) است که تحت عنوان مهم رتبه‌بندی شده است. دو آسیب‌پذیری افزایش اختیار (CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱) به‌عنوان مهم رتبه‌بندی شدند. یک آسیب‌پذیری افزایش اختیار محلی (CVE-۲۰۲۲-۳۱۶۶۴) به‌عنوان مهم رتبه‌بندی شده است. یک آسیب‌پذیری تزریق URL (CVE-۲۰۲۲-۳۱۶۵۷) که به عنوان متوسط ​​رتبه‌بندی شده است. و یک آسیب‌پذیری پیمایش مسیر (CVE-۲۰۲۲-۳۱۶۶۲) به‌عنوان متوسط ​​رتبه‌بندی شده است.

پچ فوری، پچ همه چیز
مجموعه VMware با عجولانه عمل کردن در ارائه پچ‌ها برای اشکالات حیاتی موجود در محصولاتش غریبه نیست و به دلیل فراگیر بودن پلتفرم خود در شبکه‌های سازمانی، از مشکلات امنیتی خود رنج می‌برد.

به عنوان مثال، در اواخر ژوئن، سازمان‌های فدرال درباره حمله مهاجمان به سرور‌های VMware Horizon و Unified Access Gateway (UAG) برای سواستفاده از آسیب‌پذیری بدنام Log4Shell RCE (یک نقص با قابلیت بهره‌برداری آسان که در لایبرری Log4Jlate Apache در سال گذشته کشف شد)، هشدار دادند که از آن زمان به‌طور مستمر روی VMware و دیگر پلتفرم‌ها هدف قرار گرفته است.

در واقع، گاهی اوقات حتی پچ کردن هنوز برای VMware کافی نبوده است، زیرا مهاجمان پس از انجام اقدامات لازم برای رفع مشکل، نقص‌های موجود را هدف قرار می‌دهند.

این سناریو در دسامبر ۲۰۲۰ رخ داد، زمانی که فدرال‌رزرو‌ها هشدار دادند که دشمنان به طور فعال از یک باگ چند هفته‌ای در محصولات Workspace One Access و Identity Manager سه روز پس از اصلاح آسیب‌پذیری توسط فروشنده استفاده می‌کنند.

به گفته یک متخصص امنیتی، اگرچه همه نشانه‌ها به فوریت اصلاح آخرین تهدید برای پلتفرم VMware اشاره می‌کنند، به گفته یک متخصص امنیتی، به احتمال زیاد حتی اگر به توصیه‌ها توجه شود، این خطر در آینده به شکل قابل پیش‌بینی ادامه خواهد داشت.

گرگ فیتزجرالد، یکی از بنیانگذاران Sevco Security اشاره کرد که اگرچه شرکت‌ها در ابتدا تمایل دارند سریع‌ترین تهدیدات را برای شبکه خود برطرف کنند، اما اغلب جا‌هایی را که مهاجمان می‌توانند از یک نقص سواستفاده کنند را فراموش می‌کنند. او گفت که این همان چیزی است که منجر به حملات مداوم و پیوسته می‌شود.

«مهم‌ترین خطر برای شرکت‌ها سرعت اعمال پچ‌های حیاتی آن‌ها نیست. فیتزجرالد می‌گوید، این از اعمال نکردن پچ‌ها در هر زمینه ناشی می‌شود. واقعیت ساده این است که بیشتر سازمان‌ها در نگهداری موجودی دارایی‌های فناوری اطلاعات به‌روز و دقیق شکست می‌خورند، و دقیق‌ترین رویکرد برای مدیریت پچ نمی‌تواند تضمین کند که همه دارایی‌های سازمانی در نظر گرفته و حفظ می‌شوند.»