وبلاگ نویسی یک عاشق شبکه و برنامه نویسی

شاید نکته جالب این است که آسیب پذیری امنیتی جدید در پردازنده های اینتل که از سال 2008 آغاز شده است، شناخته شده اند. به عنوان Zombieload، RIDL، Fallout و MDS (نامگذاری رسمی اینتل)، این حفره امنیتی در معماری اینتل آخرین در رشته از آسیب پذیری هایی است که بعد از آن از ابتدای سال 2018 آغاز شد. در همین حال، AMD معتقد است که Zombieload، مانند Meltdown، Foreshadow و Spoiler قبلا، تنها بر روی پردازنده های اینتل تاثیر می گذارد و نه توسط AMD تولید شده است.

AMD پردازنده های خود را به عنوان ایمنی در وب سایت خود ذکر کرده است و بیانیه ای را در مورد زیرمجموعه AMD ارائه کرده است:

"در AMD ما محصولات و خدمات خود را با در نظر داشتن امنیت توسعه می دهیم. بر اساس تجزیه و تحلیل و بحث های ما با محققان، ما معتقدیم که محصولات ما به علت کنترل های سخت افزاری،" Fallout "،" RIDL "یا" ZombieLoad Attack "حساس نیستند در معماری ما. ما نمی توانیم این سوء استفاده ها را بر روی محصولات AMD نشان دهیم و از دیگران که این کار را انجام داده اند بی اطلاع هستیم. "
بدیهی است که این آسیب پذیری ها برای AMD مهم نیستند، مخصوصا برای محصولات پردازش داده های در حال رشد خود که امنیت آن برای کسب و کار حیاتی است. اما این فقط سوراخ امنیتی است که Intel را تحت فشار قرار می دهند، تکه هایی که برای آنها نیز به Intel آسیب می رساند. راه حل های سیستم عامل و نرم افزاری برای آسیب پذیری های بسیاری از اینتل (که حتی شامل غیرفعال کردن Hyper-Threading، چیزی است که اینتل هزینه اضافی برای آن می کند) باعث کاهش کارایی پردازنده های آن می شود. وب سایت Phoronix متمرکز بر لینوکس تفاوت عملکرد در Core i9 7980XE اینتل (با Hyper-Threading را فعال کرده) را آزمایش کرد و دریافت که کاهش عملکرد در حدود 10٪ بود، اما گاهی اوقات تا 50٪ (در یک مورد). AMD، بدون نیاز به هیچ گونه تکه، قطعا عملکردی را از دست نمی دهد.

مصرف کنندگان با پردازنده های اینتل ممکن است این آسیب پذیری ها را قبول کنند تا از مجازات های اجرایی اجتناب کنند، اما کسانی که برای Ryzen، Threadripper و Epyc انتخاب کرده اند، مطمئنا راحت خواهند شد که می توانند بدون آسیب رساندن به عملکرد و امنیت خود فرار کنند.

سیسکو سه آسیب پذیری کدگذاری از راه دور را که براساس رابطهای مدیریت وب با شدت بحرانی تأثیر میگذارد با نمره پایه CVSS 9.8 پس از ارزیابی آنها به عنوان بالا با نمره پایه 8.8، زمانی که این توصیهها برای اولین بار در 15 مه منتشر شد، ارتقاء داد.

مدیر شبکه سیسکو (PI) و مدیر برنامه ریزی انحصاری سیسکو (EPN)، ابزار مدیریت شبکه هستند که توسط مدیران «برای تهیه، نظارت، بهینه سازی و رفع هر دو دستگاه سیمی و بی سیم» استفاده می شود.

بر اساس توصیه های امنیتی سیسکو که در تاریخ 15 ماه مه منتشر شده و به روز شده در تاریخ 16 می، آسیب پذیری های بحرانی وجود دارد "چرا که نرمافزار به درستی ورودی کاربر را تأیید نمیکند" و می تواند توسط مهاجمان بالقوه از راه دور مورد سوء استفاده قرار گیرد تا توانایی اجرای کد دلخواه را با "root امتیازات سطح در سیستم عامل پایه. "

خطرناک ترین مسئله ای است که CVE-2019-1821 دنبال می کند که می تواند توسط یک هکر آموزش دیده غیرقابل شناسایی که دسترسی به شبکه را به رابط مدیریتی آسیب دیده است مورد استفاده قرار گیرد. "
 
دو معضل دیگر که به شرح زیر CVE-2019-1822 و CVE-2019-1823 ردیابی می شوند، کمتر مورد توجه قرار می گیرند، زیرا آنها می خواهند "نیاز به یک مهاجم دارای اعتبار معتبر برای تأیید اعتبار به رابط کاربری اداری تحت تاثیر قرار گیرد".

همانطور که توسط مشاور امنیت سیسکو بیشتر توضیح داده شده است:

این آسیب پذیری ها وجود دارد زیرا نرمافزار نادرست ورودی کاربر را تأیید می کند. یک مهاجم می تواند با ارسال یک فایل مخرب به رابط وب اداری از این آسیب پذیری ها بهره برداری کند.

سه آسیب پذیری بر نسخه های نرم افزاری زیر تاثیر می گذارد: نرم افزار سیسکو PI نرم افزار قبل از 3.4.1، 3.5 و 3.6 منتشر می شود و EPN Manager قبل از 3.0.1 منتشر می شود.

در حالی که هیچ راه حل هایی برای این آسیب پذیری وجود ندارد، سیسکو نسخه های نرم افزاری رایگان منتشر کرده است که می تواند برای اصلاح نقص های نرم افزاری استفاده شود.

شدت آسیب پذیری های تزریق SQL
نرم افزار مدیریت رابط مبتنی بمعیار دیگر اعتبار نامعتبر ورودی به عنوان شدت بالا و رجیستر شده به عنوان CVE-2019-1824 و CVE-20ر وب نیز تحت تاثیر دو 19-1825 است که "می تواند اجازه می دهد یک مهاجم از راه دور تایید شده برای اجرای پرس و جو دلخواه SQL. "

این مسائل مربوط به نرم افزار با نمرات پایه CVSS 8.1 می تواند توسط مهاجمان احتمالی توسط دستورات مخرب SQL ارسال شده به رابط های مدیریت وب آسیب پذیر با استفاده از درخواست های HTTP ساخته شده خاص مورد سوء استفاده قرار گیرد. پس از بهره برداری موفقیت آمیز، مهاجمان می توانند "ورودی ها را در برخی از جداول پایگاه داده مشاهده یا اصلاح کنند، که بر تمامیت داده ها تاثیر می گذارد".

محصولاتی که توسط مهاجمان توسط سوءاستفاده از این دو مسئله نرمافزار مورد سوء استفاده قرار میگیرند، نسخههای Cisco PI Software Releases قبل از 3.4.1، 3.5 و 3.6 است و EPN Manager قبل از نسخه 3.0.1 منتشر میشود.

Exabyam راه اندازی امنیت سایبری 75 میلیارد دلار در یک سری E سرمایه گذاری با همکاری شرکت های Sapphire Ventures و Lightspeed Venture Partners با مشارکت همه سرمایه گذاران موجود، از جمله بازوی سرمایه گذاری سیسکو، افزایش داده است.

Exabeam مبتنی بر سن ماتئو در سال 2013، یادگیری ماشین، داده های بزرگ و تجزیه و تحلیل را برای تشخیص و تهدید تهدیدات سایبری متصل می کند - این پلتفرم تحت عنوان چتر سایبری امنیتی شناخته می شود که به عنوان "اطلاعات امنیتی و مدیریت رویداد" یا SIEM شناخته می شود.
Exabyam به طور مداوم منابع داده های ورود شرکت ها را برای تعیین فعالیت "عادی" به طور مداوم نظارت می کند، بنابراین می تواند فعالیت های غیر معمولی را مورد توجه قرار دهد و نمره ریسک را اختصاص دهد. به طور معمول می تواند یک هفته طول بکشد تا سیستم بتواند سرعت فعالیت یک شرکت را افزایش دهد، اما تجزیه و تحلیل داده های تاریخی می تواند این زمان را به چند روز کاهش دهد.
تعدادی از شرکت های SIEM در این زمینه رقابت می کنند، از جمله Splunk، که اخیرا سهام خود را به قیمت تمام وقت در حدود 140 دلار - به میزان 700 درصدی در قیمت 17 دلار IPO در سال 2012 دست یافت. دیگر سیستم های قابل توجه شامل بازیکنان قدیمی مانند RSA، که متعلق به EMC و LogRhythm است که در سال گذشته توسط شرکت سهامی خصوصی Thoma Bravo کشف شد.

پیش از این، Exabyam 115 میلیون دلار را به دست آورده بود - از جمله 50 میلیون دلار فقط هشت ماه پیش - و با 75 میلیون دلار دیگر در این بانک، این شرکت برای تأمین مأموریت غافلگیرانه اش از Splunk، در میان دیگر "میراث" فروشندگان "، برای تبدیل شدن به رهبر بازار SIEM.

"Ravi Mathre، Lightspeed Venture Partners" در این باره می گوید: "در سال های اخیر به طور گسترده ای در بازار امنیتی، چندین شرکت بزرگ از شرکت ها جایگزین تأیید صحت و حفاظت پایدار شده اند. "مدیریت امنیت بعدی است، و Exabeam موقعیت خوبی برای رهبر است."

به طور خاص، این وجوه برای سرمایه گذاری در تحقیق و توسعه Exabeam و رشد تیم فروش آن در سراسر جهان مورد استفاده قرار می گیرد.

در ابر
از آنجایی که آخرین ارتقاء بزرگ آن، Exabeam یک سرویس ابر جدید مبتنی بر SIEM به نام Exabeam Saas Cloud را راه اندازی کرده است، این شرکت اعلام کرده است که تیم فروش و برنامه مشارکت فناوری خود را که شامل صدها تن از فروشندگان نرم افزار و خدمات است، گسترش داده است.

اظهار داشت: "در طول سال گذشته، افزایش ارزش استراتژیک ما افزایش یافته است و میزان معامله ما به طور متوسط ​​فقط از دو سال قبل به 100 درصد افزایش یافته است." "این به این دلیل است که ما به مشتریانمان گوش می دهیم و فن آوری های نوآورانه ای را که نیاز داریم، از جمله اخیرا توانایی تشخیص تهدیدات در ابر" ارائه می کنیم. "

پیش بینی می شود که با افزایش حملات سایبری در زمینه کسب و کار، امنیت سایبری تا سال 2023 به یک صنعت 250 میلیارد دلاری تبدیل شود و برخی از ارقام پیش بینی می کنند که بخش SIEM به طور خاص به 6/75 میلیارد دلار در همان سال برسد - به طوری که به اندازه کافی بزرگ است.

"آندرس رانوم مدیر عامل شرکت Sapphire Ventures افزود:" ما انتخاب کردیم که Exabeam را به دلیل شتاب این شرکت در بازار بسیار بزرگ و مهم انتخاب کنیم. "Nir و تیم حل مشکلات که فروشندگان SIEM مهاجر به نظر نمی رسد درک آنها را داشته باشند، و به ما که نشان داد ارزش قابل اعتماد نیست. به عنوان حملات سایبری، جاسوسی سایبری و جاسوسی شرکت ها در حال افزایش است، Exabyam شرکت ها را قادر می سازد تا رفتار کاربر را تجزیه و تحلیل کنند و حتی ناهنجاری های ظریف را به گونه ای قرار دهند که دیگر هیچ فروشنده SIEM وجود ندارد. "

سیسکو دو اشکال شدید را که می تواند توسط مهاجمان از راه دور مورد سوء استفاده قرار گیرد، پاک می کند.

سیستم های سیسکو دو آسیب پذیری بسیار شدید را که می تواند از طرف دشمنان غیرقابل شناسایی از راه دور به منظور حمله حملات انکار سرویس مورد سوء استفاده قرار گیرد، پچ کرده است. ارتباطات ویدیویی TelePresence سیسکو و فایروال سری ASA 5500-X شرکت تاثیر می گذارد.

آسیب پذیری با بیشترین تاثیر احتمالی CVE-2019-1721 است که نقص در ویژگی کتابخوان Cisco Expressway Series و Cisco TelePresence Video Communication Server می باشد. سیسکو در روز جمعه اشکال را به اطلاع مشتریان اعلام کرد: "می تواند یک مهاجم از راه دور تأیید شده را مجاز به افزایش CPU به 100 درصد استفاده کند، و باعث عدم دسترسی سرویس (DoS) به یک سیستم آسیب دیده" می شود.

سیسکو در بولتن امنیتی خود اظهار داشت که اشکال به سوء استفاده نادرست از ورودی XML توسط دستگاه های آسیب دیده وابسته است. یک سناریوی حمله شامل یک دشمن است که پیغام پروتکل پیاده سازی یک جلسه را با استفاده از یک کامپوننت XML پردازش شده، که CPU دستگاه را به وجود می آورد و در شرایط DoS قرار می گیرد، ارسال می کند.
شرایط استفاده از DoS در یک حمله با استفاده از یک اشکال شدید (CVE-2019-1694) در موتور پردازش TCP از نرم افزار Adaptive Security Appliance (ASA) و نرم افزار Cisco Firepower Threat Defense (FTD) ایجاد شده است. در مجموع، نه دستگاه سیسکو (مجازی و فیزیکی) - از روترهای سری سیف 7600 تا لوازم جانبی مجازی امنیتی Adaptive Security - بستگی به نرم افزار تحت تاثیر ASA و FTD دارد.

"آسیب پذیری ناشی از دستکاری نادرست ترافیک TCP است. یک مهاجم که از یک پروتکل TCP برای بازرسی پیکربندی شده است می تواند با ارسال یک دنباله خاص از بسته ها از طریق یک دستگاه آسیب پذیر از این آسیب پذیری بهره برداری کند "، طبق بیانیه سیسکو. این سوءاستفاده موفقیت آمیز میتواند به مهاجم اجازه دهد ترافیک را از طریق دستگاه در هنگام راهاندازی مجدد از بین ببرد.

سیسکو یک بسته نرم افزاری برای آسیب پذیری منتشر کرده است؛ با این حال، هیچ راه حل در دسترس نیست.

نقصهای شدید متوسط ​​ثابت
سیسکو همچنین سایر نقاط ضعف متوسط ​​را رد کرد. برای مثال سومین آسیب پذیری DoS در روز جمعه بسته شده است که به ویژگی چندپخشی مستقل پروتکل سیسکو (PIM) سیسکو IOS XR Software مربوط می شود که در تعدادی از روترهای سری سیسکو ASR 9000 استفاده می شود.

بولتن سیسکو اعلام کرد که اشکال (CVE-2019-1712) می تواند اجازه دهد "یک مهاجم ناشناخته، از راه دور برای جلوگیری از فرآیند PIM برای راه اندازی مجدد، منجر به انکار شرایط سرویس در دستگاه آسیب دیده شود."

یک آسیب پذیری عبور از فیلتر ایمنی سیسکو امنیت ایمیل (CVE-2019-1844) به وسیله ابزار رتبه بندی شده است و می تواند به یک مهاجم ناشناس، مهاجم اجازه عبور از قابلیت فیلتر کردن امنیت سایبری ایمیل سیسکو را بدهد.

طبق سیسکو، "یک سوءاستفاده موفق میتواند به مهاجم اجازه دهد پیامهایی را ارسال کند که حاوی مطالب مخرب به کاربران باشد."

هر دو آسیب پذیری دارای تکه های نرم افزاری هستند، اما هیچ راه حلی وجود ندارد.

اشکالات روز بعد از آن اعلام شد که سیسکو 22 آسیب پذیری شدید و یک اشکال بحرانی (CVE-2019-1804) را که بر روی نرم افزار شبکه تعریف شده توسط شرکت و روتر مرکز داده Nexus 9000 تاثیر می گذارد، شناسایی کرد