بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (11 – 5 اسفند)

زمان مطالعه: 5 دقیقه

این هفته هم به روال هفته های قبل، سراغ آسیب پذیری های مهم منتشر شده در پلتفرم ZDI رفتیم.

این هفته 19 آسیب پذیری مهم، بین 24 فوریه تا 1 مارس / 5 تا 11 اسفند، در پلتفرم ZDI منتشر شده که در ادامه بررسیشون میکنیم.

پلتفرم Zero Day Initiative یا به اختصار ZDI یه پلتفرم در حوزه امنیت سایبریه که در زمینه آسیب پذیری های نرم افزاری فعالیت داره. بطور کلی این پلتفرم بعنوان یه واسط در حوزه زیرودی ، عمل میکنه . برای آشنایی با این واسطها میتونید پادکست واسطهای زیرودی رو با زیرنویسی فارسی مشاهده کنید.

این پلتفرم بدلیل اینکه با اغلب شرکتهای مهم و محبوب ، کار میکنه، آسیب پذیری ها و اکسپلویتهایی که منتشر میکنه، از اهمیت بالایی برخوردار هستن. برای همین ، نگاه هفتگی به آسیب پذیری های مهم این پلتفرم داریم.

آسیب پذیری های مهم منظور، آسیب پذیری هایی هستن که امتیاز بالایی دارن (7.8 به بالا) ، یا محصول آسیب پذیر، جزء محصولات کاربردی در ایران هستش. برای آشنایی با این پلتفرم و شروع این پستها، میتونید این پست رو مشاهده کنید.

این هفته 6 کمپانی داشتیم که محصول آسیب پذیر داشتن. در صدر این لیست دو کمپانی حضور دارن:

کمپانی Kofax با 6 آسیب پذیری برای Power PDF که یک برنامه برای ساخت، مشاهده و ویرایش فایلهای PDF هستش.

کمپانی NI با 6 آسیب پذیری برای FlexLogger که یک برنامه در زمینه سنسورها هستش.

در رتبه دوم ، لینوکس قرار داره با 3 آسیب پذیری در کرنلش.

در رتبه سوم هم اپل قرار داره با دو آسیب پذیری در macOS

نمودار زیر همه ی کمپانی هایی که این هفته محصول آسیب پذیر داشتن رو نشون میده :

 

 

نوع آسیب پذیری هایی که این هفته در محصولات کشف شده :

• اجرای کد : 10
• افزایش امتیاز : 6
• افشای اطلاعات: 3
• دور زدن مکانیسم احراز هویت : 0
• منع سرویس : 0

 

 

 

در نهایت 19 آسیب پذیری که منتشر شده :

 

شناسه	امتیاز	سازنده	محصول	نوع	توضیحات
CVE-2023-52440	9.0	Linux	Kernel	Heap Buffer Overflow	مهاجم راه دور و بدون احرازهویت امکان اجرای کد دلخواه با امتیاز کرنل داره. فقط سیستم هایی که روشون ksmbd فعاله، تحت تاثیر آسیب پذیری هستن. آسیب پذیری در پردازش session key رخ میده.
CVE-2023-52441	8.6	Linux	Kernel	Out-Of-Bounds Read	مهاجم راه دور و بدون احرازهویت امکان افشای اطلاعات حساس داره. فقط سیستم هایی که روشون ksmbd فعاله، تحت تاثیر آسیب پذیری هستن. آسیب پذیری در مدیریت درخواستهای تبادل SMB2 رخ میده. مهاجم با زنجیره کردن این آسیب پذیری با آسیب پذیری های دیگه، میتونه کد دلخواه با امتیاز کرنل اجرا کنه.
CVE-2023-52442	9.3	Linux	Kernel	Improper Input Validation	مهاجم راه دور و بدون احرازهویت امکان افشای اطلاعات حساس داره. فقط سیستم هایی که روشون ksmbd فعاله، تحت تاثیر آسیب پذیری هستن. آسیب پذیری در مدیریت درخواستهای زنجیره ای رخ میده. مهاجم با زنجیره کردن این آسیب پذیری با آسیب پذیری های دیگه، میتونه کد دلخواه با امتیاز کرنل اجرا کنه.
CVE-2024-27344	7.8	Kofax	Power PDF	Memory Corruption	مهاجم راه دور امکان اجرای کد دلخواه رو داره. برای اکسپلویت نیاز به تعامل کاربر هست ، چون باید فایل یا صفحه مخربی رو اجرا کنه. آسیب پذیری در تجزیه ی فایلهای PDF هستش.
CVE-2024-27342	7.8	Kofax	Power PDF	Out-Of-Bounds Write	مهاجم راه دور امکان اجرای کد دلخواه رو داره. برای اکسپلویت نیاز به تعامل کاربر هست ، چون باید فایل یا صفحه مخربی رو اجرا کنه. آسیب پذیری در تجزیه ی فایلهای PDF هستش.
CVE-2024-27341	7.8	Kofax	Power PDF	Heap Buffer Overflow	مهاجم راه دور امکان اجرای کد دلخواه رو داره. برای اکسپلویت نیاز به تعامل کاربر هست ، چون باید فایل یا صفحه مخربی رو اجرا کنه. آسیب پذیری در تجزیه ی فایلهای PDF هستش.
CVE-2024-27340	7.8	Kofax	Power PDF	Heap Buffer Overflow	مهاجم راه دور امکان اجرای کد دلخواه رو داره. برای اکسپلویت نیاز به تعامل کاربر هست ، چون باید فایل یا صفحه مخربی رو اجرا کنه. آسیب پذیری در تجزیه ی فایلهای PDF هستش.
CVE-2024-27338	7.8	Kofax	Power PDF	Out-Of-Bounds Read	مهاجم راه دور امکان اجرای کد دلخواه رو داره. برای اکسپلویت نیاز به تعامل کاربر هست ، چون باید فایل یا صفحه مخربی رو اجرا کنه. آسیب پذیری در پیاده سازی متد app.response هستش.
CVE-2024-27335	7.8	Kofax	Power PDF	Out-Of-Bounds Read	مهاجم راه دور امکان اجرای کد دلخواه رو داره. برای اکسپلویت نیاز به تعامل کاربر هست ، چون باید فایل یا صفحه مخربی رو اجرا کنه. آسیب پذیری در تجزیه ی فایلهای PNG هستش.
CVE-2024-0692	9.8	SolarWinds	Security Event Manager	Deserialization of Untrusted Data	مهاجم راه دور و بدون احرازهویت امکان اجرای کد دلخواه با امتیاز اکانت سرویس داره. آسیب پذیری در پیکربندی نقاط پایانی AMF رخ میده.
CVE-2024-1156	7.8	NI	FlexLogger	Incorrect Permission Assignment	مهاجم محلی امکان افزایش امتیاز و اجرای کد با امتیاز SYSTEM داره. آسیب پذیری در پیکربندی RabbitMQ و بدلیل دادن پرمیشن بد به یک فایل رخ میده.
CVE-2024-1155	7.8	NI	FlexLogger	Missing Authorization	مهاجم محلی امکان افزایش امتیاز و اجرای کد با امتیاز SYSTEM داره. آسیب پذیری در مولفه ی userservices رخ میده.
CVE-2024-1155	7.8	NI	FlexLogger	Missing Authorization	مهاجم محلی امکان افزایش امتیاز و اجرای کد با امتیاز SYSTEM داره. آسیب پذیری در مولفه ی TagHistorian رخ میده.
CVE-2024-1155	7.8	NI	FlexLogger	Missing Authorization	مهاجم محلی امکان افزایش امتیاز و اجرای کد با امتیاز SYSTEM داره. آسیب پذیری در مولفه ی DocumentManager رخ میده.
CVE-2024-1155	7.8	NI	FlexLogger	Missing Authorization	مهاجم محلی امکان افزایش امتیاز و اجرای کد با امتیاز SYSTEM داره. آسیب پذیری در فایل اجرایی SkylineService رخ میده.
CVE-2024-1155	7.8	NI	FlexLogger	Missing Authorization	مهاجم محلی امکان افزایش امتیاز و اجرای کد با امتیاز SYSTEM داره. آسیب پذیری در مولفه ی ServiceRegistry رخ میده.
ZDI-24-208	9.8	Microsoft	Azure	Uncontrolled Search Path Element	مهاجم راه دور و بدون احرازهویت امکان اجرای کد دلخواه داره. آسیب پذیری در MCR VSTS CLI هستش. موقع نصب Microsoft Container Registry ، نصب کننده تلاش میکنه تا یه منبع ابری که وجود نداره رو لوود کنه، در نتیجه امکان takeover رو داره.
CVE-2023-42902	8.8	Apple	macOS	Out-Of-Bounds Write	مهاجم راه دور امکان اجرای کد دلخواه داره. برای اکسپلویت نیاز به تعامل کاربر هست چون قربانی باید یک فایل تصویری مخرب رو در فایل سیستم محلیش ذخیره کنه. آسیب پذیری در پردازش فایلهای HEIC در پروسس VTDecoderXPCService رخ میده.
CVE-2023-42888	3.3	Apple	macOS	Out-Of-Bounds Read	مهاجم راه دور امکان افشای اطلاعات حساس داره. برای اکسپلویت کردن نیاز به تعامل با کتابخونه ی ImageIO هستش اما ممکنه بردار حمله متفاوت باشه. آسیب پذیری در فریمورک ImageIO هستش. مهاجم با زنجیره کردن این آسیب پذیری با آسیب پذیری های دیگه امکان اجرای کد دلخواه داره.