美国 CISA 将 Acclaim Systems USAHERDS 漏洞列入已知漏洞目录

美国网络安全和基础设施安全局 (CISA) 将 Acclaim Systems USAHERDS 漏洞添加到其已知漏洞目录中。

美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中增加了一个 Acclaim Systems USAHERDS 漏洞，该漏洞被追踪为 CVE-2021-44207（CVSS 得分：8.1）。

USAHERDS 由 Acclaim Systems 开发，是一个基于网络的应用程序，旨在协助美国各州政府跟踪和管理动物健康和疾病爆发。它是 AgraGuard 产品套件的一部分，该套件包括 USAHERDS、USALIMS、USAPlants、USAFoodSafety 和 USAMeals，旨在支持农业和食品安全操作。

中国网络间谍组织 APT41 利用该漏洞入侵了多个美国州政府网络。

该漏洞源于使用硬编码凭证漏洞，它影响 Acclaim USAHERDS 7.4.0.1 及更早版本的网络应用程序。知道静态 ValidationKey 和 DecryptionKey 值的攻击者可利用它们在运行应用程序的系统上执行任意代码。

攻击者可以制作恶意的 ViewState 数据来绕过 MAC 检查，并触发服务器端代码执行。

“Acclaim USAHERDS Web 应用程序 7.4.0.1 及更早版本（2021 年 11 月之前的版本）使用静态 ValidationKey 和 DecryptionKey 值。高度–可利用对 ValidationKey 和 DecryptionKey 的了解，在运行应用程序的系统上实现远程代码执行。”

来自 Mandiant 的安全研究人员 Douglas Bienstock 向公司报告了这一问题。Acclaim Systems 公司于 2021 年 11 月发布了一个补丁来修复该漏洞，从而解决了这一问题。

根据约束性操作指令（BOD）22-01： 减少已知漏洞被利用的重大风险》，FCEB 机构必须在到期日之前解决已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营机构审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2025 年 1 月 13 日前修复该漏洞。