سیب‌پذیری‌ها و Patchهای مهم در مارس 2022

• گروه باج‌افزاری به نام Lapsus$ که مسئولیت نقض امنیتی روی تراشه غول‌پیکری از NVIDIA را برعهده گرفته است، ادعا می‌کند که اکنون توانسته شرکت کره‌ای سامسونگ را دچار نقض امنیتی کند و 190GB داده‌های حساس را به‌صورت آنلاین پخش کرده است.
• بخشی از افشای داده‌های NVIDIA توسط Lapsus$، دو Certificate امضای کد برای امضای درایورها و فایل‌های قابل‌اجرا بود. مهاجمین همین حالا استفاده از این Certificateها را برای امضای بدافزار شروع کرده‌اند و امیدوار هستند که اینگونه از راهکارهای امنیتی فرار کنند.
• گروه APT41 یا Wicked Panda که وابسته به چین و تحت حمایت دولت است، در شش ماه گذشته، با Exploit کردن برنامه‌های کاربردی آسیب‌پذیر تحت‌ وب، با موفقیت به شبکه‌های دولت آمریکا نفوذ کرده است. آسیب‌پذیری‌ها شامل آسیب‌پذیری Log4Shell و یک نقص Zero-Day در برنامه‌ی کاربردی USAHerds است که به‌عنوان CVE-2021-44207 ردیابی می‌شود.
• در جنگ بین روسیه و اوکراین، مجرمان سایبری و هکتیویست‌ها از طریق تلگرام فعالیت خود را افزایش دادند. گروه‌های حملات سایبری ضدروسیه رشد داشته‌اند، درحالی‌که به نظر می‌رسد ممکن است گروه‌هایی که ادعای جمع‌آوری کمک مالی برای اوکراین را دارند، کلاهبردار باشند. سازمان‌های غیردولتی و چندین خیریه که در اوکراین کمک‌های انسان‌دوستانه ارائه می‌کنند نیز مورد هدف قرار گرفتند تا سردرگمی فراگیر شده و در تأمین دارو، غذا و لباس برای افرادی که تحت تأثیر این درگیری قرار گرفته‌اند، اختلال ایجاد شود.

• شرکت‌های بزرگی از جمله مایکروسافت، Okta، NVIDIA، سامسونگ و Ubisoft توسط گروه هکر Lapsus$ مورد نقش امنیتی قرار گرفتند. این گروه سایبری به این معروف است که اطلاعات حساسی را از شرکت‌های بزرگ تکنولوژی و دولت‌ها به سرقت برده است. اما نحوه‌ی نفوذ گروه به این اهداف هنوز برای عموم مشخص نیست. اخیراً پلیس انگلستان اعلام کرده است که 7 نوجوان با سنین 16 تا 21 سال که مشکوک به انجام این حملات هستند را دستگیر کرده است.

• ارتش IT اوکراین متشکل از عاملان سایبری و داوطلبان در سرتاسر جهان مدعی حملاتی شده است که چندین وب‌سایت کلیدی روسی و بلاروسی از جمله سایت رسمی کرملین را از دسترس خارج کرده‌اند.
• پس از حملات HermeticWiper (همان FoxBlade و KillDisc) به اهداف اوکراینی، یک حذف‌کننده‌ی داده‌ی (Data Wiper) جدید به نام IsaacWiper پیدا شده است که علیه یک شبکه دولتی اوکراین فعالیت می‌کند. همچنین بدافزار Data Wiper دیگری با نام «CaddyWiper» وجود دارد که برای آسیب‌رسانی به سیستم هدف طراحی شده تا داده‌ها، برنامه‌ها، هارد درایوها و غیره را حذف کند

• گروه APT ایرانی به نام آب گل‌آلود (MuddyWater) به حملات سایبری‌ای ارتباط داده شده است که ترکیه و کشورهای آسیایی را هدف قرار داده‌ است و با استفاده از اسناد مخرب قربانیان را با Trojanهای دسترسی از راه دور آلوده می‌کند. کمپین دیگری نیز در شبه‌جزیره عربی فعال است که از بدافزاری به نام «SloughRAT» استفاده می‌کند.

• یک حمله‌ی DDoS چندین وب‌سایت دولت اسرائیل را هدف قرار داده است و باعث شده که چندین پورتال برای مدت کوتاهی از دسترس خارج شوند. این حمله رسماً به گروهی ارتباط داده نشده است.

• عاملان تهدید آنتی‌ویروس‌های تقلبی و بروزرسانی‌های امنیتی حیاتی برای ویندوز را از طریق یک کمپین فیشینگ ایمیل پخش می‌کنند که خود را به جای سازمان‌های دولت اوکراین جا می‌زند تا قربانیان اوکراینی را فریب دهد که ضمیمه‌ای را دانلود کنند. وقتی که این فایل با نام «BitdefenderWindowsUpdatePackage.exe» دانلود شد، Beaconهای Cobalt Strike و بدافزارهای دیگری را رها می‌کند.

آسیب‌پذیری‌ها و Patchهای انجام شده در مارس 2022

• محققان جزئیاتی را در مورد نقص‌های جدی طراحی در ویژگی سخت‌افزاری رمزگذاری Samsung Galaxy منتشر کردند که روی بیش از صد میلیون نفر تأثیر می‌گذاشت اما اکنون Patch شده است. این آسیب‌پذیری‌ها که تحت عناوین CVE-2021-25444 و CVE-2021-25490 ردیابی شده‌اند، روی گوشی‌های Galaxy s1، S20 و دستگاه‌های S8، S9 و S10 تأثیرگذار بودند.

• یک نقص بالا بردن سطح دسترسی که تحت عنوان CVE-2022-0847 ردیابی می‌شود (و به‌عنوان «Dirty Pipe» هم شناسایی شده است) نیز در Linux Kernel نسخه‌های 5.8 و بالاتر پیدا و Patch شده است؛ امکان سوءاستفاده از این نقص توسط یک عامل تهدید محلی برای در دست گرفتن کنترل یک سیستم آسیب‌دیده، خواندن پیام‌های خصوصی و به‌دست آوردن سطح دسترسی ادمین وجود داشت.
• مایکروسافت یک نقص حیاتی در سرویس Azure Automation را Patch کرده است. این آسیب‌پذیری که AutoWarp نام دارد، می‌توانست دسترسی غیرمجازی را به داده‌های مشتریان Azure فراهم کند و کنترل را به دست بگیرد.
• یک آسیب‌پذیری که تحت عنوان CVE-2022-0811، «cr8escape» ردیابی می‌شود، در موتور Kubernetes Container به نام CRI-O شناسایی شده است و می‌توان برای اجرای بدافزار، استخراج داده و حرکت جانبی آن را Exploit کرد.
• یک نقص Zero-Day در تبدیل‌کننده‌ی HTML به PDF به نام dompdf شناسایی شده، اما هنوز Patch نشده است. اگر این آسیب‌پذیری Exploit شود، در برخی از پیکربندی‌ها می‌تواند منجر به اجرای کد از راه دور شود.
• گوگل یک بروزرسانی اضطراری را منتشر کرده است تا یک آسیب‌پذیری خطرناک Zero-Day در مرورگر کروم که Exploit می‌شود را Patch کند. این آسیب‌پذیری که باعنوان CVE-2022-1096 ردیابی می‌شود، نوعی آسیب‌پذیری سردرگمی در موتور V8 JavaScript است که می‌تواند به یک عامل تهدید توانایی دسترسی به حافظه را خارج از محدوده بدهد.
• آسیب‌پذیری حیاتی RCE در فایروال‌های Sophos که تحت عنوان CVE-2022-1040 ردیابی می‌شود توسط شرکت Sophos اصلاح شد. این نقص مربوط به دور زدن احراز هویت در پورتال کاربر و بخش webadmin از Sophos Firewall، نسخه‌های 18.5 MR3 و قبل از آن است. اگر این نقص Exploit شود، می‌تواند به مهاجمین این امکان را بدهد که احراز هویت را دور بزنند و کد دلخواه خود را اجرا کنند.
• VMware دو آسیب‌پذیری امنیتی حیاتی را در پلتفرم کنترل برنامه‌ی کاربردی Carbon Black، وصله کرده است. CVE-2022-22951، یک نقص در تزریق فرمان سیستم عامل است که می‌توان آن را برای اجرای دستورات روی سرور مورد استفاده قرار داد و CVE-2022-952 یک نقص آپلود فایل است که می‌تواند به یک هکر امکان اجرای کد را روی Instance ویندوز تحت تأثیر بدهد.
• CISA  شصت و شش نقص را به کاتالوگ آسیب‌پذیری‌های شناسایی‌شده‌ی خود اضافه کرده است.