聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周,网络安全和基础设施安全局 (CISA) 在“已知已利用漏洞分类” 中新增了17个已遭利用的漏洞。
“已知已利用漏洞分类” 是已遭滥用的漏洞清单,这些漏洞要求联邦文职行政部门 (FCEB) 修复。CISA 解释称,“绑定操作指令 (BOD) 22-01:降低已知已利用漏洞的重大风险使‘已知已利用漏洞分类’成为对于联邦企业具有重大风险的已知CVE实时清单。BOD 22-01 要求FCEB 机构在到期日前缓解已识别漏洞,保护FCEB免受活跃威胁的攻击。参见 BOD 22-01 事实清单,了解更多信息。”
该分类中所列漏洞可使威胁行动者执行多种攻击,包括窃取凭据、远程执行命令、下载和执行恶意软件或窃取设备信息。截至目前该分类中共包含341个漏洞以及各机构必须应用安全更新的日期。
新增的17个新漏洞如下所示,其中10个需要在2月份的第一周内修复。
CVE 编号 | CVE 题目 | 必要措施截止日 |
CVE-2021-32648 | October CMS 认证不当 | 2/1/2022 |
CVE-2021-21315 | node.js 系统信息库命令注入漏洞 | 2/1/2022 |
CVE-2021-21975 | vRealize Operations Manager API 服务器端请求伪造漏洞 | 2/1/2022 |
CVE-2021-22991 | BIG-IP Traffic Microkernel 缓冲区溢出漏洞 | 2/1/2022 |
CVE-2021-25296 | Nagios XI OS 命令注入漏洞 | 2/1/2022 |
CVE-2021-25297 | Nagios XI OS命令注入漏洞 | 2/1/2022 |
CVE-2021-25298 | Nagios XI OS命令注入漏洞 | 2/1/2022 |
CVE-2021-33766 | Microsoft Exchange Server 信息泄露漏洞 | 2/1/2022 |
CVE-2021-40870 | Aviatrix Controller 不受限制的文件上传漏洞 | 2/1/2022 |
CVE-2021-35247 | SolarWinds Serv-U 输入验证不当漏洞 | 02/04/2022 |
CVE-2020-11978 | Apache Airflow 命令注入漏洞 | 7/18/2022 |
CVE-2020-13671 | Drupal Core不受限制的文件上传漏洞 | 7/18/2022 |
CVE-2020-13927 | Apache Airflow Experimental API 认证绕过漏洞 | 7/18/2022 |
CVE-2020-14864 | Oracle Corporate Business Intelligence Enterprise Edition 路径穿越漏洞 | 7/18/2022 |
CVE-2006-1547 | Apache Struts 1 ActionForm 拒绝服务漏洞 | 07/21/2022 |
CVE-2012-0391 | Apache Struts 2 输入验证不当漏洞 | 07/21/2022 |
CVE-2018-8453 | Microsoft Windows Win32k 提权漏洞 | 07/21/2022 |
值得注意的两个漏洞
在这17个漏洞中,值得注意的是CVE-2021-32648和CVE-2021-35247,它们已遭活跃利用。CVE-2021-32648是“October CMS 认证不当“漏洞,由于它已被用于涂鸦乌克兰政府网站,因此在2022年2月1日之前要求修复。虽然乌克兰将这些攻击归咎于俄罗斯,但一些安全专家将它们归责于和白俄罗斯有关的黑客组织 Ghostwriter。CVE-2021-35247 是一个”SolarWinds Serv-U 输入验证不当漏洞“,被微软发现针对被配置为 LDAP 服务器的Windows 域控制器发动 Log4j 攻击。由于 Windows 域控制器并不受 Log4j 漏洞影响,利用该漏洞的攻击最终失败,但 CISA 要求各机构在2022年2月4日前修复该漏洞。
强烈建议所有安全专业人员和管理员修复环境中的这17个漏洞。
推荐阅读
CISA《网络安全事件和漏洞响应手册》提到的SSVC是什么?
美国CISA 列出300个已遭利用漏洞,督促组织机构及时修复
速修复!CISA警告称 Zoho 服务器0day已遭在野利用
原文链接
https://www.bleepingcomputer.com/news/security/cisa-adds-17-vulnerabilities-to-list-of-bugs-exploited-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
