آسیب‌پذیری‌ در محصولات Fortinet

Fortinet مجموعه‌ای از آسیب‌پذیری‌های امنیتی که چندین محصول این شرکت را تحت تأثیر قرار می‌دهند برطرف نموده است، مجموعه‌ای از نقص‌های با شدت بالا، مانند باگ‌های path traversal در رابط مدیریت FortiDeceptor که ماشین‌های مجازی را به عنوان هانی‌پات برای نفوذگران شبکه مدیریت می‌کند. این غول امنیت سایبری مستقر در کالیفرنیا که بیش از یک سوم کل فایروال‌ها و سیستم‌های مدیریت تهدید یکپارچه را در سراسر جهان به خود اختصاص می‌دهد، تعداد زیادی به‌روزرسانی میان‌افزاری و نرم‌افزاری در روز سه‌شنبه 5 جولای منتشر کرده است.
CVE-2022-26117 : آسیب‌پذیری با شدت بالا (8.0 از 10) در حساب کاربری root پایگاه داده MySQL که محافظت نشده است و در محصول FortiNAC (کنترل دسترسی شبکه) وجود دارد. یک رمز عبور خالی _استفاده از رشته خالی برای رمز عبور_در فایل پیکربندی FortiNAC به مهاجم احرازهویت‌شده اجازه می‌دهد از طریق CLI به پایگاه داده‌های MySQL دسترسی پیدا کند.
CVE-2022-30302 : آسیب‌پذیری‌های path traversal با شدت بالا (7.9 از10) در رابط مدیریت محصول FortiDeceptor که ممکن است به مهاجم احرازهویت‌شده از راه دور اجازه دهد از طریق درخواست‌های وبِ ساختگی، فایل‌های دلخواه را از سیستم‌فایل اصلی بازیابی و حذف کند.
CVE-2021-41031 : آسیب‌پذیری ارتقاء سطح دسترسی با شدت بالا (7.8 از 10) از طریق حمله‌ی directory traversal در محصول FortiClient برای ویندوز، که ممکن است به یک مهاجم غیرمجاز محلی اجازه دهد تا سطح دسترسی خود را از طریق named pipe سرویس FortiESNAC به سطح دسترسی SYSTEM ارتقاء دهد.
CVE-2021-43072 : آسیب‌پذیری سرریز بافر مبتنی بر پشته با شدت بالا (7.4 از 10) از طریق اجرای دستورات ساختگی در CLI محصولات FortiAnalyzer، FortiManager، FortiOS و FortiProxy، که در واقع نقص کپی بافر بدون بررسی اندازه ورودی است _آسیب‌پذیری Classic Buffer Overflow_ که به یک مهاجم دارای حق دسترسی اجازه می‌دهد کد یا دستورات دلخواه خود را از طریق عملیات `execute restore image` و `execute certificate remote` در CLI ساختگی با پروتکل TFTP اجرا نماید.

این آسیب‌پذیری‌ها محصولات Fortinet را به شرح زیر تحت تأثیر قرار می‌دهند:

• CVE-2022-26117 :

fortinet

• CVE-2022-30302 :

fortinet

• CVE-2021-41031 :

fortinet

• CVE-2021-43072 :

fortinet

به کاربران توصیه می‌شود نسخه‌های آسیب‌پذیر محصولات Fortinet خود را به نسخه‌های به‌روزرسانی‌شده که در جداول فوق آورده شده‌اند ارتقاء دهند.

بیشتر بخوانید

رفع آسیب‌پذیری‌های با شدت بالا در محصولات سیسکو

سیسکو چندین آسیب‌پذیری را با شدت بالا در محصولات خود برطرف نمود . این نقص‌ها محصولات identity، email و web security سیسکو را تحت تأثیر قرار می‌دهند .

جزئیات آسیب‌پذیری

  • CVE-2022-20961 : این آسیب‌پذیری با شدت بالا (8.8 از 10)، در رابط مدیریت تحت‌وب سیستم احراز هویت و کنترل دسترسی سیسکو به نام Cisco Identity Services Engine (ISE) وجود دارد و به مهاجم احرازهویت‌نشده اجازه می‌دهد از راه دور یک حمله‌ی cross-site request forgery (CSRF) را راه‌اندازی کرده و اقدامات دلخواه خود را در دستگاه‌های تحت تأثیر انجام دهد. این آسیب‌پذیری به دلیل محافظت ناکافی در برابر حمله‌ی CSRF برای رابط مدیریت تحت‌وب در دستگاه آسیب‌پذیر ایجاد می‌شود و مهاجم می‌تواند با متقاعد کردن کاربرِ رابط مدیریت برای کلیک بر روی یک لینک جعلی از این نقص بهره‌برداری نماید. بهره‌برداری موفقیت‌آمیز از این نقص، برای مهاجم امکان اجرای اقدامات دلخواه را با دسترسی کاربر مورد هدف فراهم می‌کند.
  • CVE-2022-20956 : این آسیب‌پذیری با شدت بالا (7.1 از 10)، در رابط مدیریت تحت‌وب سیستم احراز هویت و کنترل دسترسی سیسکو به نام Cisco Identity Services Engine (ISE) وجود دارد و به مهاجم احراز هویت‌شده اجازه می‌دهد از راه دور فرایند تعیین مجوز دسترسی (authorization) را دور بزند و به سیستم‌فایل‌ها دسترسی پیدا کند. این آسیب‌پذیری به دلیل کنترل دسترسی نامناسب در رابطه مدیریت تحت‌وب در دستگاه آسیب‌پذیر ایجاد می‌شود و مهاجم با ارسال یک درخواست HTTP ساختگی به دستگاه آسیب‌پذیر می‌تواند از این نقص بهره‌برداری نماید. بهره‌برداری موفقیت‌آمیز از این نقص برای مهاجم امکان فهرست، دانلود و حذف فایل‌هایی را برای مهاجم فراهم می‌کند که نباید به آن‌ها دسترسی داشته باشد .
  • CVE-2022-20958 :  یک آسیب‌پذیری با شدت بالا (8.3 از 10) در رابط مدیریت تحت‌وب نرم‌افزار Cisco BroadWorks CommPilot Application Software وجود دارد که به مهاجم احرازهویت‌شده اجازه می‌دهد از راه دور کد دلخواه خود را بر روی دستگاه آسیب‌پذیر اجرا نماید. این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی‌های کاربر ایجاد می‌شود و مهاجم با ارسال یک درخواست HTTP ساختگی به رابط وب دستگاه آسیب‌پذیر می‌تواند از این نقص بهره‌برداری نماید. بهره‌برداری موفق از این نقص برای مهاجم امکان اجرای کد دلخواه را بر روی دستگاه آسیب‌پذیر به عنوان کاربر bworks فراهم می‌کند و از این طریق مهاجم می‌تواند فایل‌های دلخواه را در سیستم‌فایل بخواند و یا در برخی از فرایندها یا پروسس‌های در حال اجرا وقفه ایجاد نماید.
  • CVE-2022-20951 : این آسیب‌پذیری با شدت بالا (7.7 در 10) در رابط مدیریت تحت‌وب نرم‌افزار Cisco BroadWorks CommPilot Application Software وجود دارد که به مهاجم احرازهویت‌شده اجازه می‌دهد از راه دور حمله‌ی server-side request forgery (SSRF) را بر روی دستگاه آسیب‌پذیر انجام دهد. این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی‌های کاربر ایجاد می‌شود و مهاجم با ارسال یک درخواست HTTP ساختگی به رابط وب دستگاه آسیب‌پذیر می‌تواند از این نقص بهره‌برداری نماید. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد اطلاعات محرمانه را از سرور Cisco BroadWorks و سایر دستگاه‌های موجود در شبکه به دست آورد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها محصولات Cisco Identity Services Engine (ISE) و Cisco BroadWorks CommPilot Application Software را تحت تأثیر قرار می‌دهند.

توصیه‌های امنیتی
آسیب‌پذیری‌های مذکور به شرح زیر در محصولات سیسکو برطرف شده‌اند :

  • CVE-2022-2096 :

cisco

  • CVE-2022-20956 :

cisco

  • CVE-2022-20951 و CVE-2022-20958 :

 

cisco

بیشتر بخوانید

هشدار Fortinet درباره نقص جدید بای‌پس احراز هویت در FortiGate و FortiProxy

مجموعه Fortinet به طور خصوصی به مشتریان خود در مورد نقص امنیتی که فایروال‌های FortiGate و پروکسی‌های وب FortiProxy را تحت تاثیر قرار می‌دهد ، هشدار داده است .

این نقص به طور بالقوه به مهاجم اجازه می‌دهد تا اقدامات غیرمجاز را روی دستگاه‌های حساس انجام دهد .

این نقص مهم که به‌ عنوان CVE-2022-40684 رد‌یابی و معرفی می‌شود (امتیاز CVSS : 9.6) ، به یک آسیب‌ پذیری بای‌ پس احراز هویت مربوط می‌شود که ممکن است به یک مهاجم تایید نشده اجازه دهد تا از طریق یک درخواست HTTP(S) ساختگی ویژه ، عملیات دلخواه را در اینترفیس ادمین انجام دهد .

این مشکل بر نسخه‌های زیر تاثیر می‌گذارد و در نسخه‌های FortiOS 7.0.7 و ۷.۲.۲ و نسخه‌های FortiProxy 7.0.7 و ۷.۲.۱ که این هفته منتشر شده است، بررسی شده است :

FortiOS – از ۷.۰.۰ تا ۷.۰.۶ و از ۷.۲.۰ تا ۷.۲.۱

FortiProxy – از ۷.۰.۰ تا ۷.۰.۶ و ۷.۲.۰

این شرکت در هشداری که توسط یک محقق امنیتی با نام مستعار Gitworm در توییتر به اشتراک گذاشته شده است ، هشدار داد : « به دلیل امکان بهره‌ برداری از این مشکل از راه دور ، Fortinet اکیدا به همه مشتریان دارای نسخه‌های آسیب‌پذیر توصیه می‌کند که فورا تجهیزات و دستگاه‌های خود را ارتقا داده و بروزرسانی کنند. »

به‌عنوان راه‌ حل موقت ، این شرکت به‌ کاربران توصیه می‌کند تا زمانی کا بروزرسانی‌ها انجام شوند ، مدیریت HTTPS متصل به اینترنت را غیرفعال کنند ، یا در عوض ، یک پالیسی فایروال را برای «ترافیک محلی» اعمال کنند .

هنگامی که با فورتینت برای اظهار نظر در‌ این‌ باره تماس گرفته شد ، آنها این توصیه را تایید کرده و خاطرنشان کردند که اطلاع‌ رسانی عمومی را تا زمانی که مشتریانش اصلاحات را اعمال نکرده باشند ، به تاخیر می‌اندازد .

این شرکت در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شده است ، گفت : « ارتباطات به موقع و مداوم با مشتریان ما یک جزء کلیدی در تلاش‌های ما برای ارائه بهترین راهکار‌های محافظت و ایمن‌ سازی سازمان آنها است . ارتباطات مشتری اغلب به‌ روزترین راهنمایی‌ها و گام‌های بعدی توصیه‌ شده را برای بهترین محافظت و ایمن کردن سازمانشان شرح و ارائه می‌دهد. »

« مواردی وجود دارد که ارتباطات محرمانه مشتری می‌تواند شامل هشدار‌های اولیه در مورد مشاوره باشد تا مشتریان بتوانند وضعیت امنیتی خود را بیشتر تقویت کنند، که سپس در روز‌های آینده به طور عمومی برای مخاطبان گسترده‌تر منتشر می‌شود . امنیت مشتریان ما اولویت اول ما است. »

بیشتر بخوانید

سواستفاده هکر‌های چینی از باگ zero-day در فایروال سوفوس

هکر‌های چینی از یک اکسپلویت روز صفر (zero-day) برای یک آسیب‌پذیری با شدت بحرانی در فایروال سوفوس سواستفاده می‌کنند. آن‌ها یک شرکت بزرگ را به خطر انداخته و به سرور‌های وب میزبانی شده در فضای ابری که توسط قربانی مدیریت می‌شد، نفوذ کردند.

سواستفاده از روز صفر

مجموعه Volexity یک حمله از یک گروه APT چینی را فاش کرد که تحت عنوان DriftingCloud معرفی شده است. عامل تهدید از اوایل ماه مارس، فقط سه هفته قبل از انتشار یک پچ توسط Sophos، از نقص CVE-۲۰۲۲-۱۰۴۰ RCE سواستفاده کرده است.

در ماه مارس، Sophos یک توصیه امنیتی درباره این نقص RCE منتشر کرد که بر پورتال کاربر و وب‌ادمین فایروال Sophos تأثیر می‌گذارد.

سه روز بعد، این تأمین‌کننده فایروال هشدار داد و فاش کرد که مجرمان سایبری از این نقص امنیتی برای هدف قرار دادن سازمان‌های مختلف در آسیا سواستفاده می‌کنند.

مهاجمان از نقص‌های روز صفر برای به خطر انداختن فایروال برای نصب webshell backdoors و بدافزار‌ها برای فعال کردن سیستم‌های بیرونی خارج از شبکه محافظت شده توسط Sophos Firewall سواستفاده نمودند.

اطلاعات بیشتر

مهاجم از فریمورک Behinder استفاده می‌کرده که گمان می‌رود توسط سایر گروه‌های APT چینی که از نقص CVE-۲۰۲۲-۲۶۱۳۴ در سرور‌های Confluence استفاده می‌کردند، استفاده می‌شد.

دسترسی به فایروال Sophos اولین گام در حمله است که با تغییر پاسخ‌های DNS برای وب سایت‌های خاص شرکت‌های قربانی، حمله Man-in-the-Middle (MitM) را فعال می‌کند.

مهاجم با استفاده از کوکی‌های سِشِن به سرقت رفته با موفقیت به صفحات مدیریت CMS دسترسی پیدا می‌کند و متعاقباً یک افزونه مدیریت فایل را برای دستکاری فایل‌ها در وب‌سایت نصب می‌کند.

راه حل
سوفوس این نقص را برطرف کرده و اقدامات کاهشی و ضروری را برای کمک به سازمان‌ها در استفاده از فایروال و محافظت در برابر عوامل تهدید که از آسیب‌پذیری سواستفاده می‌کنند، ارائه کرد.

بیشتر بخوانید

امکان دسترسی به شبکه‌های سازمانی با نقص مهم در فایروال‌های Zyxel

یک آسیب‌پذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروال‌های Zyxel را تحت تأثیر قرار می‌دهد، به همراه یک ماژول Metasploit که از آن بهره‌برداری می‌کند، به صورت عمومی افشا شده است.

این آسیب‌پذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳‌آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچ‌هایی که در ۲۸‌آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.

جزییات CVE-2022-30525
آسیب‌پذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروال‌های آسیب‌پذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آن‌ها اجازه می‌دهد فایل‌های خاصی را تغییر داده و کامند‌های سیستم‌عامل را اجرا کنند.

همانطور که توسط Zyxel تأیید شده است، این آسیب‌پذیری، بر مدل‌های فایروال و نسخه‌های فریمور زیر تأثیر می‌گذارد:

• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1

• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1

رفع و کاهش خطر
با وجود پچی که می‌توان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیب‌پذیر قابل کشف از طریق Shodan ممکن است در روز‌ها و ماه‌های آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است به‌ویژه توسط کارگزاران دسترسی اولیه حادث شود.

به ادمین‌های دستگاه‌های آسیب دیده توصیه می‌شود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.

«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.

بینز از اینکه Zyxel این آسیب‌پذیری را بی‌صدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک می‌کند و مدافعان را در مورد خطر واقعی مسائل جدید کشف‌شده در ناآگاهی کامل ر‌ها می‌نماید».

با این حال، زایکسل می‌گوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.

بیشتر بخوانید