آسیب‌پذیری VMware ESXi و راه‌حل‌ها

 

تشریح آسیب‌پذیری VMware ESXi و راه‌حل‌ها

آسیب‌پذیری: آسیب‌پذیری CVE-2024-37085 در VMware ESXi یک نقص احراز هویت است که به مهاجمان با دسترسی کافی به Active Directory اجازه می‌دهد تا کنترل کامل بر هایپروایزر VMware ESXi بدست آورند. این نقص، امتیازات مدیریتی را به گروهی به نام "ESX Admins" می‌دهد که به صورت پیش‌فرض ایجاد شده است و حتی اگر این گروه حذف شود، با ایجاد مجدد آن، این امتیازات دوباره اعطا می‌شوند. این آسیب‌پذیری با نمره CVSS 6.8 رتبه‌بندی شده است و توسط گروه‌های باج‌افزاری مانند Akira و Black Basta مورد استفاده قرار گرفته است.

راه‌حل‌ها:

  1. بروزرسانی سیستم‌ها: نصب آخرین پچ‌های ارائه شده توسط VMware برای این نقص.
  2. تنظیمات امنیتی AD: اعمال سیاست‌های امنیتی سختگیرانه‌تر برای کاهش سطح دسترسی‌های غیرمجاز.
  3. نظارت و تست نفوذ: پیاده‌سازی بهترین روش‌های امنیتی شامل نظارت مستمر و تست نفوذ.

نحوه تست نفوذ قانونی:

  1. شناسایی آسیب‌پذیری: استفاده از ابزارهای شناسایی آسیب‌پذیری مانند Nessus.
  2. تایید بهره‌برداری: استفاده از ابزارهای تست نفوذ مانند Metasploit برای تایید امکان بهره‌برداری.
  3. تحلیل و رفع نقص: بررسی گزارش‌های تست نفوذ و انجام اقدامات اصلاحی.

منابع معتبر برای مطالعه بیشتر:

  1. NVD - CVE-2024-37085
  2. Microsoft's warning on VMware ESXi vulnerability
  3. Rapid7 analysis on VMware ESXi vulnerability
  4. SecurityVulnerability.io overview of CVE-2024-37085
  5. Detailed discussion on the exploitation of VMware ESXi vulnerability
توضیحات
نوشته شده توسط: Babak Ahari
دسته: اخبار
بازدید: 75

آسیب‌پذیری جدید در OpenSSH: جزئیات و تحلیل فنی

 

آسیب‌پذیری جدید در OpenSSH: جزئیات و تحلیل فنی

معرفی آسیب‌پذیری

در تاریخ ۱ ژوئیه ۲۰۲۴، تیم تحقیقاتی Qualys یک آسیب‌پذیری بحرانی جدید به نام CVE-2024-6387 (با نام مستعار "regreSSHion") در OpenSSH کشف کرد. این آسیب‌پذیری به مهاجمان امکان می‌دهد که از راه دور کد مخرب را با دسترسی ریشه (root) اجرا کنند. این آسیب‌پذیری یک مشکل مسابقه سیگنال در سرورهای OpenSSH (sshd) است که بر روی سیستم‌های مبتنی بر glibc اجرا می‌شود【28†sour​ (Unit 42)​​ (Enterprise Technology News and Analysis)​جزئیات فنی این آسیب‌پذیری ناشی از مدیریت ناصحیح سیگنال‌ها در هنگام تایم‌اوت احراز هویت کاربر است. وقتی تایم‌اوت رخ می‌دهد، سیگنال SIGALRM تولید می‌شود که می‌تواند باعث وقفه در یک روتین مدیریت heap شود. اگر handler سیگنال به‌طور مستقیم این روتین را فراخوانی کند، ممکن است رفتار غیرمنتظره‌ای رخ دهد که منجر به اجرای کد دلخواه شود【30†source】【31†so​ (Akamai)​​ (Qualys Security Blog)​ گستردگی این آسیب‌پذیری بر روی نسخه‌های مختلف OpenSSH تأثیر می‌گذارد:

  • نسخه‌های قبل از 4.4p1 که پچ‌های CVE-2006-5051 و CVE-2008-4109 را دریافت نکرده‌اند.
  • نسخه‌های 8.5p1 تا قبل از 9.8p1.

این مشکل می‌تواند به طور بالقوه صدها هزار سیستم را تحت تأثیر قرار دهد، به ویژه سیستم‌های لینوکسی که از OpenSSH به عنوان سرور استفاده می‌کنند. در برخی از آزمایشات، بهره‌برداری موفق از این آسیب‌پذیری نیازمند تلاش‌های متعدد و زمان‌بر بوده است، که می‌تواند از چند ساعت تا چند روز طول بکشد.

 

 

 سازمان‌ها به سرعت نسخه‌های آسیب‌پذیر OpenSSH را به نسخه‌های ایمن‌تر به‌روزرسانی کنند.

(Enterprise Technology News and Analysis)​​ (Akamai)

در شرایطی که امکان به‌روزرسانی فوری وجود ندارد، می‌توان اقدامات زیر را انجام داد:

  • محدود کردن دسترسی SSH از طریق کنترل‌های شبکه‌ای.
  • تقسیم‌بندی شبکه و نظارت بر سیستم‌ها برای شناسایی تلاش‌های بهره‌برداری.
  • استفاده از ابزارهای مدیریت آسیب‌پذیری مانند Qualys برای شناسایی و اصلاح آسیب‌پذیری‌ها.

علاوه بر این، OpenSSH نسخه 9.8p1 را منتشر کرده است که این آسیب‌پذیری را برطرف می‌کند و سازمان‌ها باید به این نسخه به‌روزرسانی کنند تا از این آسیب‌پذیری جلوگیری شود

نتیجه‌گیری

آسیب‌پذیری CVE-202​ (Qualys Security Blog)​​ (Unit 42)​مشکل امنیتی پیچیده است که می‌تواند تأثیرات جدی بر سیستم‌های حیاتی داشته باشد. با به‌روزرسانی به موقع و استفاده از راهکارهای مدیریتی و نظارتی مناسب، می‌توان خطرات ناشی از این آسیب‌پذیری را به حداقل رساند. برای اطلاعات بیشتر می‌توانید به منابع اصلی مانند Qualys و Akamai مراجعه کنید.

توضیحات
نوشته شده توسط: Babak Ahari
دسته: اخبار
بازدید: 75

تجزیه و تحلیل جامع از خرابی اخیر ویندوز توسط CrowdStrike

 

تجزیه و تحلیل جامع از خرابی اخیر ویندوز توسط CrowdStrike

 

در ژوئن ۲۰۲۴، شرکت امنیت سایبری CrowdStrike با یک خرابی بزرگ در سیستم‌های ویندوز روبرو شد که بیش از ۸.۵ میلیون دستگاه را تحت تأثیر قرار داد. این مشکل به دلیل یک به‌روزرسانی نادرست نرم‌افزار بود که باعث شد دستگاه‌های بسیاری دچار ناپایداری و خرابی شوند.

جزئیات خرابی

این خرابی ناشی از یک مشکل در محصول Falcon Sensor شرکت CrowdStrike بود. Falcon Sensor یک عامل سبک وزن است که بر روی هر دستگاه انتهایی نصب می‌شود و می‌تواند با استفاده از یک توکن ویژه حفاظت از حذف را فعال کند. با این حال، محققان امنیتی از شرکت Modzero دریافتند که یک مهاجم با دسترسی مدیر سیستم می‌تواند از این توکن عبور کرده و حسگر را حذف کند، این مسئله می‌تواند باعث حذف حفاظت ارائه شده توسط CrowdStrike شود

(NBR | The Authority since 1970)​​ (CrowdStrike)

​عوامل خرابی

  1. مشکلات نرم‌افزاری و به‌روزرسانی‌ها:

    • به‌روزرسانی نادرست نرم‌افزار باعث ایجاد ناپایداری سیستم و نمایش صفحه آبی مرگ (BSOD) شد.
    • Microsoft تأیید کرده است که خرابی ناشی از مشکلات در نصب‌کننده مایکروسافت (MSI) بود که در شرایط خاصی امکان حذف حسگر بدون توکن معتبر را فراهم می‌کرد.

  2. مشکلات امنیتی:

    • مهاجمان می‌توانند با دسترسی مدیر سیستم، حسگر Falcon را بدون توکن معتبر حذف کنند. این ضعف امنیتی نیازمند دسترسی بالای مدیر است که ریسک آن را محدود می‌کند، اما همچنان یک مشکل جدی محسوب می‌شود.

پاسخ و اقدامات اصلاحی

CrowdStrike پس از شناسایی مشکل، به سرعت یک هشدار فنی منتشر کرد و به مشتریان خود توصیه‌هایی برای جلوگیری از بهره‌برداری از این مشکل ارائه داد. این شرکت همچنین با همکاری مایکروسافت در تلاش است تا مشکلات مربوط به MSI را برطرف کند.

نتیجه‌گیری

این حادثه بزرگترین خرابی IT در تاریخ شناخته شده است و نشان‌دهنده اهمیت به‌روزرسانی‌ها و تست‌های دقیق امنیتی در نرم‌افزارهای امنیت سایبری است. برای کسب اطلاعات بیشتر می‌توانید به NBR و CrowdStrike مراجعه کنید.

با انتشار این گزارش و شفاف‌سازی‌های انجام شده، امید است که چنین مشکلاتی در آینده به حداقل برسد و شرکت‌ها بتوانند از سیستم‌های خود در برابر تهدیدات محافظت کنند.

توضیحات
نوشته شده توسط: Babak Ahari
دسته: اخبار
بازدید: 74