美国网络安全与基础设施安全局(CISA)在其 “已知被利用漏洞” 目录中新增了四个漏洞,并敦促联邦机构和大型组织尽快应用可用的安全更新。
其中包括影响微软.NET Framework 和 Apache OFBiz(开放式商业平台)这两款广泛使用的软件应用程序的漏洞。
尽管该机构已将这些漏洞标记为在攻击中被积极利用,但并未提供有关恶意活动的具体细节,包括实施者以及攻击对象等信息。
第一个漏洞编号为 CVE – 2024 – 29059,是.NET Framework 中的一个严重(CVSS v3 评分:7.5)信息泄露漏洞,由 CODE WHITE 发现,并于 2023 年 11 月披露给微软。
微软在 2023 年 12 月关闭了该披露报告,称 “经过仔细调查,我们判定此案例不符合我们立即进行修复的标准”。
然而,微软最终在 2024 年 1 月的安全更新中修复了该漏洞,但错误地未发布 CVE 编号,也未对研究人员表示认可。
2 月,CODE WHITE 发布了用于泄露内部对象统一资源标识符(URI)的技术细节和概念验证漏洞利用方法,这些 URI 可用于执行.NET 远程处理攻击。
2024 年 3 月,微软最终针对 CVE – 2024 – 29059 这个漏洞发布了安全公告,并将该漏洞的发现归功于研究人员。
Apache OFBiz 的漏洞编号为 CVE – 2024 – 45195,是一个严重程度为 “关键”(CVSS v3 评分:9.8)的远程代码执行漏洞,影响 18.12.16 版本之前的 OFBiz。
该漏洞是由强制浏览漏洞导致的,它使未经身份验证的直接请求攻击能够访问受限路径。
此漏洞最初由 Rapid7 发现,该公司还提供了概念验证(PoC)漏洞利用方法,而供应商于 2024 年 9 月修复了该漏洞。
建议用户升级到 Apache OFBiz 18.12.16 或更高版本,以消除此特定风险。
现在,CISA 敦促可能受影响的机构和组织在 2025 年 2 月 25 日之前应用可用的补丁和缓解措施,否则应停止使用相关产品。
此次添加到 “已知被利用漏洞” 目录中的另外两个漏洞是 CVE – 2018 – 9276 和 CVE – 2018 – 19410,它们都影响 Paessler PRTG 网络监控软件。这两个问题在 2018 年 6 月发布的 18.2.41.1652 版本中已得到修复。
第一个漏洞是操作系统命令注入问题,第二个是本地文件包含漏洞。这两个漏洞的修复截止日期同样设定为 2025 年 2 月 25 日。
遗憾的是,目前没有关于这些漏洞在攻击中具体被利用方式的信息。
发表评论
您还未登录,请先登录。
登录