نقص مهم در دستگاه‌های FireEye که از طریق ارسال رایانامه قابل بهره‌برداری‌ است

تنها ارسال یک رایانامه‌ و وادار کردن کاربر به کلیک بر روی یک پیوند‌ کافی است تا بتوان از یک آسیب‌پذیری اجرای کد از راه دور حیاتی در دستگاه‌های فایرآی استفاده کرده و شبکه‌های محافظت‌شده توسط آن محصولات امنیتی را افشاء کرد.
این نقص در اوایل این ماه توسط محققان پروژه‌ی صفر گوگل تاویس اورماندی و ناتالی سیلوانوویچ تشخیص داده شد. این مشکل بر محصولات مربوط به امنیت شبکه‌ی فایرآی NX، امنیت رایانامه‌ EX، تحلیل بدافزار AX و امنیت محتوای پرونده‌ی FX این شرکت تأثیر گذاشته و به شکل پیوسته به وسیله‌ی تولید‌کنندگان این محصول در دور روز گذشته با انتشار اصلاحیه‌هایی از محتوای امنیتی نسخه‌ی ۴۲۷.۳۳۴ تعمیر شده است که به اصلاح موقت این نقص امنیتی توسط این شرکت در چند ساعت گذشته انجامیده است.
این آسیب‌پذیری به دلیل شناسه‌ی رهگیری آن توسط پروژه‌ی صفر گوگل به نام ۶۶۶ نام‌گذاری شده است و یک ماژول طراحی شده را برای بررسی پرونده‌های بایگانی جاوا JAR مختل می‌کند. یک مهاجم به راحتی تنها نیاز به ارسال یک پرونده‌‌ی JAR در شبکه‌س محافظت‌شده به وسیله‌ی دستگاه‌های فایرآی دارد. اورماندی می‌گوید: «اگر پرونده‌‌ی مخرب وانمود کند که از رشته‌های مبهم استفاده می‌کند، به وسیله‌ی محصولات فایرآی اجرا می‌شود.»
یک مهاجم با ارسال یک رایانامه‌ که دربردارنده‌ی چنین پرونده‌ی‌ JAR است به سازمان مورد هدف خود، و یا در صورتی که یک کاربر روی پیوند‌ی که به چنین پرونده‌ی متصل است کلیک کند می‌تواند از این آسیب‌دیدگی استفاده کند. (لازم به ذکر است که لازم نیست این رایانامه‌ برای اجرای پرونده‌ باز شود.)
دستگاه‌های فایرآی روی شبکه داخلی نصب می‌شوند و نظارت بر شبکه را به عهده می‌گیرند. این محصولات بر شبکه‌های FTP، HTTP، SMTPو دیگر ترافیک‌های شبکه نظارت می‌کنند و هنگامی که در طول شبکه‌ی انتقال پرونده‌ی صورت گیرد، به صورت خودکار آن را استخراج کرده و برای وجود بدافزار بررسی می‌کنند. این نوع فعالیت ممکن است برای استفاده از آسیب‌پذیری RCE که به وسیله‌ی محققان گوگل کشف شده است بدون دخالت کاربر صورت بگیرد.
محققان پروژه‌ی صفر گوگل علاوه بر این یک آسیب‌پذیری از نوع افزایش اجازه‌ی دسترسی را کشف کردند که می‌تواند برای دسترسی به ریشه‌ی دستگاه‌های فایرآی مورد استفاده قرار گیرد. اگر چه جزئیات این حفره امنیتی هنوز فاش نشده است زیرا که سازندگان دستگاه مشغول کار برای اصلاح اساسی این مشکل هستند.
یک عامل مخرب می‌تواند از این دو آسیب‌پذیری استفاده کند تا یک روت‌کیت را روی دستگاه بارگذاری کند و ترافیک را از دستگاه جدا نماید و به سرقت اطلاعات حساس دست بزند، در پشتی را در آن قرار بدهد و در طول شبکه به هر قسمت که می‌خواهد حرکت کند.
اورماندی می‌گوید: «چون دستگاه‌های فایرآی معمولاً دارای یک رابط کاربردی ثانویه برای اتصال به اینترنت، جهت به‌روزرسانی و مدیریت دستگاه هستند، این حفره می‌تواند حتی مانند یک کرم در سطح اینترنت حرکت کند.»
نمایندگان فایرآی هفته‌ی گذشته بعد از این‌که این نقایص امنیتی آشکار شدند به SecurityWeek گفتند: «ما از این فرصت حمایتی که تیم گوگل در این فرآیند در اختیار ما قرار داده است سپاس‌گذاری می‌کنیم و از ادامه‌ی تلاش‌های آن‌ها حمایت خواهیم کرد و به علاوه از تلاش‌های گسترده‌تر جامعه پژوهش‌گران امنیت برای آزمایش و بهبود محصولاتمان حمایت کامل به عمل خواهیم آورد.»
پژوهش‌گران پروژه‌ی صفر گوگل آسیب‌پذیری‌هایی جدی دیگری را در محصولات امنیتی متعددی کشف کرده‌اند که از آن جمله محصولات ساخته‌شده توسط شرکت‌های ESET ،Kaspersky ،Avast و Sophos هستند.
اخیرا نیز اورماندی گزارش داده است که در محصولات شرکت Avast نیز یک نقص امنیتی مربوط به سرریز بافر یافته است. این نقص امنیتی توسط این شرکت تولید کننده ضدبدافزار اصلاح شده است.
شرکت Avast به SecurityWeek گفته است: «این نقص امنیتی تنها سامانه‌ی عامل لینوکس را تحت تأثیر قرار می‌دهد و ما تلاش می‌کنیم که به سرعت اصلاحیه‌ای را برای همه‌ی کاربران خود ارسال کنیم. این اصلاحیه از طریق به‌روزرسانی‌های ضدبدافزار برای آن‌ها ارسال شده است، بنابراین کاربران نیاز ندارند که در این زمینه کار دیگری انجام دهند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.