اخبار, باج افزار و بد افزار

آسیب‌پذیری بحرانی و فعال libwebp – CVE-2023-5129

گوگل اطلاعات جدیدی در رابطه با آسیب‌پذیری روز صفر که به‌طور فعال مورداستفاده قرارگرفته، ازجمله اطلاعات مربوط به گسترش دامنه و اهمیت تأثیر سوءاستفاده منتشر کرده است.

این مشکل، که با شماره شناسایی CVE-2023-5129 و امتیاز امنیتی CVSS: 10 شناخته می‌شود، به‌عنوان یک آسیب‌پذیری حافظه با شدت بالا در کتابخانه اوپن سورس libwebp شناخته می‌شود. به این معناست که داده‌های بیشتر از حد مجاز به حافظه وارد می‌شوند و این ممکن است به مشکلات امنیتی منجر شود. این‌یک پلتفرم گسترده‌ای است که برای ارائه تصاویر وب استفاده می‌شود.

اینکه قبل از انتشار پچ های امنیتی، این آسیب‌پذیری توسط عوامل تهدید در دنیای واقعی مورد سوءاستفاده قرارگرفته در حال حاضر تأییدشده است. علاوه بر این، جزئیات فنی در مورد آسیب‌پذیری و کد poc به‌صورت عمومی در دسترس است. با توجه به این شرایط، بسیار مهم است که سازمان‌ها اطمینان حاصل کنند که دستگاه‌های آسیب‌دیده به‌روز بوده و پچ های امنیتی بر روی آن‌ها نصب می‌باشند.

اطلاعات بیشتر درباره libwebp – CVE-2023-5129

این آسیب‌پذیری در ابتدا تحت شناسه CVE CVE-2023-4863 ردیابی شد. گوگل در آن زمان پچ های امنیتی مؤثری را از مرورگر کروم ارائه کرد. توصیه جدید منتشر شد تا نشان دهد که تعداد بیشتری از محصولات ازآنچه در ابتدا تصور می‌شد تحت تأثیر قرارگرفته‌اند. همه فروشندگانی که از کتابخانه libwebp در محصولات خود استفاده می‌کنند، ملزم به انتشار به‌روزرسانی برای کاهش آسیب‌پذیری هستند. به‌روزرسانی همچنین شامل افزایش امتیاز بحرانی است. افزایش نمره CVSS از 8.8 به حداکثر درجه شدت 10.

کتابخانه کد libwebp توسط گوگل در سال 2010 به‌عنوان روشی جدید برای ارائه تصاویر در webp ایجاد شد. این کتابخانه از آن زمان به بعد در هزاران برنامه کاربردی پرکاربرد، از برنامه‌های چت گرفته تا مرورگرهای وب، گنجانده‌شده است. با توجه به دامنه تأثیر، احتمالاً به‌روزرسانی‌های محصول مربوط به CVE-2023-5129 برای مدتی ادامه خواهد داشت.

گوگل تأیید کرده است که از این آسیب‌پذیری در محیط‌های واقعی سوءاستفاده شده است، اما جزئیات حمله را تا این لحظه به‌صورت عمومی منتشر نکرده است حدس‌های عمومی وجود دارد مبنی بر اینکه سوءاستفاده از این آسیب‌پذیری با گروه هکری NSO Group در حملاتی که شامل زنجیره اکسپلویت BLASTPASS می‌شود، مرتبط است.

این اطلاعات در حال حاضر به‌طور مستقل تأیید نشده است، اما به نظر می‌رسد به‌احتمال‌زیاد آسیب‌پذیری اولیه توسط Citizen Lab گزارش‌شده است، همان سازمانی که BLASTPASS را کشف کرده است و سابقه افشای اطلاعات مربوط به سوءاستفاده‌های گروه NSO را دارد. اگر دقیق باشد، این نشان می‌دهد که حملات ماهیت بسیار هدفمند دارند و احتمالاً با یک سازمان دولتی مرتبط هستند. تأییدشده است که زنجیره اکسپلویت BLASTPASS علیه یک سازمان جامعه مدنی مستقر در واشنگتن دی سی با دفاتر بین‌المللی استفاده‌شده است.

درحالی‌که در حال حاضر احتمالاً exploit، محدود به حملات هدفمند است، کد اثبات مفهوم (PoC) و جزئیات فنی در حال حاضر به‌صورت عمومی در دسترس است. ترکیبی از این جزئیات فنی، و همچنین توجه ای که این آسیب‌پذیری به خود جلب کرده است، احتمالاً منجر به حملات دنیای واقعی اضافی توسط سایر گروه‌های عامل تهدید در آینده نزدیک می‌شود.