CISA 在其已知利用漏洞目录中新增15个新漏洞
2022-2-15 11:6:30 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国网络安全与基础设施安全局(CISA)在“已知被利用漏洞目录”中又增加了15个漏洞。

“已知被利用漏洞目录”是威胁行为者在攻击中滥用的已知漏洞列表,这些漏洞需要由联邦民事执行局 (FCEB) 机构解决。

根据具有约束力的操作指令(BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。

专家还建议企业组织审查已知利用漏洞目录 并解决其基础设施中的漏洞。

以下是添加到目录中的漏洞列表:

CVE ID描述补丁截至日期
CVE-2021-36934Microsoft Windows SAM本地权限升级漏洞2022/2/24
CVE-2020-0796Microsoft SMBv3远程代码执行漏洞2022/8/10
CVE-2018-1000861Jenkins Stapler Web Framework反序列化不受信任的数据2022/8/10
CVE-2017-9791Apache Struts 1错误输入验证漏洞2022/8/10
CVE-2017-8464Microsoft Windows Shell (.lnk)远程代码执行2022/8/10
CVE-2017-10271Oracle WebLogic服务器远程代码执行2022/8/10
CVE-2017-0263Microsoft Win32k特权升级漏洞2022/8/10
CVE-2017-0262Microsoft Office远程代码执行漏洞2022/8/10
CVE-2017-0145Microsoft SMBv1远程代码执行漏洞2022/8/10
CVE-2017-0144Microsoft SMBv1远程代码执行漏洞2022/8/10
CVE-2016-3088Apache ActiveMQ错误输入验证漏洞2022/8/10
CVE-2015-2051D - link DIR-645路由器远程代码执行2022/8/10
CVE-2015-1635Microsoft HTTP.sys 远程代码执行漏洞2022/8/10
CVE-2015-1130Apple OS X 认证绕过漏洞2022/8/10
CVE-2014-4404Apple OS X 基于堆的缓冲区溢出漏洞2022/8/10

其中一个漏洞是Microsoft Windows SAM(安全帐户管理器)漏洞中的特权提升漏洞。

微软在发布的公告中写道:成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序,查看、更改或删除数据。或者创建具有完全用户权限的新账户。攻击者必须有能力在受害系统上执行代码才能利用此漏洞。

该机构还增加了影响D-Link DIR-645路由器的CVE-2015-2051远程代码执行漏洞。去年11月,AT&T的研究人员发现了一个新的BotenaGo僵尸网络,它利用了33个漏洞来攻击数百万路由器和物联网设备,包括一个用于上述RCE的漏洞。

在已发布的新增漏洞中,也有一些旧漏洞,如CVE-2014-4404 Apple OS X基于堆的缓冲区溢出漏洞。目录中增加的另一个旧问题是SMBv3协议中的CVE-2020-0796漏洞,vxers可以利用该漏洞实施“蠕虫”恶意软件。

加上这15个漏洞,CISA的已知被利用漏洞目录中的漏洞数量达到368个。

漏洞利用造成的影响不容小觑,根据美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)的数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致!

通过安全可信的自动化静态代码检测工具能有效减少30-70%的安全漏洞,诸如缓冲区溢出漏洞、注入漏洞及XSS等。此外静态代码检测有助于开发人员第一时间发现并修正代码缺陷,这将为开发人员节省大量时间,同时也能降低企业维护安全问题的成本。作为传统网络安全防御措施的重要补充手段,使用静态代码检测工具提高软件自身安全性已成为国际共识。

文章来源:

https://securityaffairs.co/wordpress/127902/security/known-exploited-vulnerabilities-catalog-flaws.html


文章来源: https://www.freebuf.com/news/321894.html
如有侵权请联系:admin#unsafe.sh