منو سایت

CISA درباره 15 آسیب پذیری فعال هشدار می دهد

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

CISA درباره 15 آسیب پذیری فعال هشدار می دهد

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) 15 آسیب پذیری جدید و فعال را که اخیراً توسط هکرها مورد سوء استفاده قرار گرفته اند را به لیست آسیب پذیری های امنیتی خود اضافه کرده است. تاریخچه برخی از این آسیب پذیری ها به سال 2014 باز می گردد. اما 2 تای آنها که در اجزای ویندوز هستند مربوط به 2 سال گذشته است.

این آژانس در بیانیه‌ای اعلام کرد: «چنین آسیب‌پذیری‌ها یکی از پرکاربردترین مسیرهای حمله برای همه انواع مهاجمان سایبری هستند و خطرات امنیتی قابل‌توجهی را برای سازمان‌های دولتی به همراه دارند». لیست آسیب پذیری های شناخته شده CISA به طور مرتب بر اساس مشاهدات حملات واقعی و تحقیقات در مورد این حملات به روز می شود. CISA همچنین راه‌حل‌های امنیتی را برای رفع هر یک از این آسیب‌پذیری‌ها به سازمان‌ها ارائه کرد.

آسیب پذیری دسترسی

CVE-2021-36934 یکی از آسیب پذیری های امنیتی است که اخیراً به این لیست اضافه شده و به عنوان یک تهدید جدی برای جامعه امنیت سایبری شناخته شده است. مدرک CVSS استاندارد[۱] سیستم مشترک برای ارزیابی آسیب پذیری ها [۲]SAM (Security Accounts Manager) یعنی 8 از 10.

دلیل اصلی این آسیب پذیری بهبود سطح دسترسی به ویندوز است. CVE-2021-36934 به دلیل مجوزهای دسترسی نادرست ویندوز برای فایلی است که پایگاه داده SAM را ذخیره می کند، که به مهاجمان اجازه می دهد تا رمزهای عبور هش را از حساب های دیگر، مانند حساب SYSTEM بازیابی کنند. مجرمان سایبری می توانند از مجوزهای این حساب ها برای اجرای کد دلخواه استفاده کنند. این نقص امنیتی برای اولین بار در جولای 2021 شناسایی و گزارش شد و مایکروسافت بلافاصله یک پچ امنیتی ویژه برای اصلاح آن منتشر کرد.

محققان همچنین نشان داده‌اند که مجرمان سایبری می‌توانند به راحتی از CVE-2021-36934 برای استخراج هش‌هایی استفاده کنند که امکان اجرای کد از راه دور را در سیستم‌های دیگر فراهم می‌کند. بنابراین، این عدم امنیت یک تهدید جدی برای ترافیک عرضی در محیط است.

اگرچه این آسیب‌پذیری یکی از آسیب‌پذیری‌های جدید در میان سایر موارد موجود در این فهرست است، اما CISA در 24 فوریه راه‌حل را در اسرع وقت اعلام کرد و سایر آسیب‌پذیری‌ها را تا 10 آگوست اعلام کرد. بنابراین واضح است که CVE-2021-36934 یک آسیب پذیری بسیار مهم برای CISA است.

یک تصور غلط در مورد آسیب پذیری های یکسان سازی دسترسی این است که مهاجمان باید به سیستم دسترسی داشته باشند تا از آنها سوء استفاده کنند و این آسیب پذیری ها از آسیب پذیری های کد راه دور کمتر جدی هستند. در حالی که مجرمان سایبری از راه حل های مختلفی مانند فیشینگ، حملات دانلود ناخواسته و استفاده از آسیب پذیری ها در سرویس ها و نرم افزارهایی که نقاط دسترسی بالایی ندارند و همچنین با فریب کاربران در شبکه های اجتماعی و … استفاده می کنند، از این آسیب پذیری ها سوء استفاده می کنند. آنها درست می کنند. آسیب پذیری های امنیتی که منجر به افزایش سطح دسترسی می شوند، بخش مهمی از زنجیره عملیاتی امروزی هستند و مانند اجرای کد از راه دور، خطرات بسیار جدی را به همراه دارند.

آسیب پذیری های دسترسی

کد راه دور را اجرا کنید SMB

CVE-2020-0796 دومین نقص امنیتی که اخیراً به لیست CISA اضافه شده است، دارای سطح بحرانی وخامت است. ریشه این آسیب پذیری که در مارس 2020 توسط مایکروسافت حذف شد، نحوه رسیدگی به برخی درخواست ها توسط پروتکل SMBv3 است. چنین آسیب‌پذیری که می‌تواند باعث اجرای کد از راه دور از طریق سرور مشتری و سرور مشتری شود، می‌تواند به شدت بر ویندوز 10 و ویندوز سرور تأثیر بگذارد.

آسیب‌پذیری‌های امنیتی کد از راه دور بسیار خطرناک هستند، زیرا SMB پروتکل اصلی است که در تمام شبکه‌های ویندوز قرار دارد و امکان اشتراک‌گذاری فایل، اشتراک‌گذاری چاپگر (یا اشتراک‌گذاری چاپگر)، مرور شبکه و ارتباط بین سرویس‌ها را فراهم می‌کند. سوء استفاده‌های شرکت‌های کوچک و متوسط ​​مانند EternalBlue (CVE-2017-0144) و EternalRomance (CVE-2017-0145) (که همچنین آسیب‌پذیری‌های فهرست شده در فهرست CISA هستند) قبلاً به انجام حملات باج‌افزار کمک کرده‌اند. برای مثال، باج‌افزار WannaCry از این آسیب‌پذیری‌ها سوء استفاده می‌کند تا میلیاردها دلار خسارت وارد کند.

سایر آسیب پذیری های امنیتی

آسیب پذیری هایی که اخیراً به این لیست اضافه شده است شامل نرم افزارهای سازمانی مانند Windows و OS X، سرورهای اتوماسیون مانند Jenkins، چارچوب های توسعه مانند Apache Struts، سرورهای برنامه های کاربردی وب مانند Oracle WebLogic و سرور پیام متن باز Apache ActiveM هستند. روترهای شبکه کارآمد هستند. . لیست کامل این آسیب پذیری ها به شرح زیر است:

  • CVE-2021-36934: آسیب پذیری ارتقاء دسترسی محلی Microsoft Windows SAM
  • CVE-2020-0796: آسیب پذیری اجرای کد از راه دور Microsoft SMBv3
  • CVE-2018-1000861: آسیب پذیری در برابر سریال زدایی از داده های غیرقابل اعتماد در چارچوب وب Jenkins Stapler
  • CVE-2017-9791: آسیب‌پذیری در اعتبارسنجی ناقص ورودی‌های Apache Struts 1
  • CVE-2017-8464: آسیب‌پذیری مایکروسافت Windows Shell Code Execution Remote (.lnk)
  • CVE-2017-10271: آسیب پذیری اجرای کد سرور از راه دور Oracle WebLogic
  • CVE-2017-0263: آسیب پذیری هنگام ارتقاء دسترسی به Microsoft Win32k
  • CVE-2017-0262: آسیب پذیری اجرای کد از راه دور مایکروسافت آفیس
  • CVE-2017-0145: آسیب پذیری اجرای کد راه دور Microsoft SMBv1
  • CVE-2017-0144: آسیب پذیری اجرای کد از راه دور Microsoft SMBv1
  • CVE-2016-3088: آسیب‌پذیری نامعتبر هنگام تأیید ورودی‌های Apache ActiveMQ
  • CVE-2015-2051: D-Link DIR-Remote Code Execution آسیب پذیری
  • CVE-2015-1635: آسیب پذیری Microsoft HTTP.sys Remote Code Execution
  • CVE-2015-1130: آسیب پذیری برای دور زدن احراز هویت Apple OS X
  • CVE-2014-4404: آسیب‌پذیری سرریز بافر بر اساس پشته پشته‌ای Apple OS X

 

[۱] CVSS برای ارزیابی و بیان شدت آسیب پذیری ها استفاده می شود.

[۲]رمزهای عبور کاربر در ویندوز 7، ویندوز XP و ویندوز ویستا در فایل SAM ذخیره و رمزگذاری می شوند.

 

منبع: csoonline