美国网络安全与基础设施安全局(CISA)在其 “已知被利用漏洞” 目录中新增了四个漏洞,并敦促联邦机构和大型组织尽快应用现有的安全更新。
其中包含影响微软.NET Framework 和 Apache OFBiz(开放式企业应用平台)这两款广泛使用软件的漏洞。
尽管该机构已将这些漏洞标记为在攻击中被积极利用,但并未提供有关恶意活动的具体细节,包括攻击者是谁、攻击对象是谁等信息。
首个漏洞编号为 CVE – 2024 – 29059,是.NET Framework 中的一个严重(CVSS v3 评分:7.5)信息泄露漏洞,由 CODE WHITE 发现,并于 2023 年 11 月提交给微软。
2023 年 12 月,微软关闭了该漏洞披露报告,称 “经过仔细调查,我们认定此案例不符合我们立即进行修复的标准”。
然而,微软最终在 2024 年 1 月的安全更新中修复了该漏洞,但却错误地未发布 CVE 编号,也未对研究人员予以认可。
2 月,CODE WHITE 发布了用于泄露内部对象统一资源标识符(URI)的技术细节及概念验证性攻击手段,这些 URI 可用于实施.NET 远程处理攻击。
2024 年 3 月,微软最终针对 CVE – 2024 – 29059 这个漏洞发布了安全公告,并将漏洞发现归功于研究人员。
Apache OFBiz 的漏洞编号为 CVE – 2024 – 45195,是一个严重程度为 “危急”(CVSS v3 评分:9.8)的远程代码执行漏洞,影响 18.12.16 版本之前的 OFBiz。
该漏洞由强制浏览漏洞导致,它使得未经身份验证的直接请求攻击能够访问受限路径。
该漏洞最初由 Rapid7 发现,该公司还展示了概念验证性(PoC)攻击手段,而供应商于 2024 年 9 月修复了该漏洞。
建议用户升级到 Apache OFBiz 18.12.16 或更高版本,以消除这一特定风险。
目前,CISA 敦促可能受影响的机构和组织在 2025 年 2 月 25 日前应用可用的补丁和缓解措施,否则停止使用相关产品。
此次添加到 “已知被利用漏洞” 目录中的另外两个漏洞是 CVE – 2018 – 9276 和 CVE – 2018 – 19410,二者均影响 Paessler PRTG 网络监控软件。这些问题在 2018 年 6 月发布的 18.2.41.1652 版本中已得到修复。
第一个漏洞是操作系统命令注入问题,第二个是本地文件包含漏洞。这两个漏洞的修复截止日期同样设定为 2025 年 2 月 25 日。
遗憾的是,目前尚无这些漏洞在攻击中具体被利用方式的相关信息。