美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 本周在其利用漏洞目錄中增加了95個(gè)新的安全漏洞，使其可利用的漏洞總數(shù)達(dá)到 478 個(gè)。該機(jī)構(gòu)在2022年3月3日發(fā)布的一份咨詢報(bào)告中表示：“這些類型的漏洞是惡意網(wǎng)絡(luò)行為者的常見(jiàn)攻擊媒介，會(huì)對(duì)聯(lián)邦企業(yè)構(gòu)成重大風(fēng)險(xiǎn)。”

新增的95個(gè)漏洞中，思科漏洞占38個(gè)，微軟27個(gè)，Adobe 16個(gè)，Oracle影響7個(gè)，Apache Tomcat、ChakraCore、Exim、Mozilla Firefox、Linux Kernel、西門子SIMATIC CP、Treck TCP /IP 堆棧。

列表中包括在Cisco RV路由器中發(fā)現(xiàn)的五個(gè)問(wèn)題，CISA指出這些問(wèn)題正被用于實(shí)際攻擊。這些漏洞于上月初曝光，允許以root權(quán)限執(zhí)行任意代碼。其中三個(gè)漏洞——CVE-2022-20699、CVE-2022-20700 和 CVE-2022-20708——在 CVSS 評(píng)級(jí)量表中被評(píng)為10分(滿分10分)，使攻擊者能夠注入惡意命令、提升root權(quán)限并運(yùn)行易受攻擊的系統(tǒng)上的任意代碼。

CISA表示，CVE-2022-20701(CVSS分?jǐn)?shù)：9.0)和CVE-2022-20703(CVSS 分?jǐn)?shù)：9.3)沒(méi)有什么不同，因?yàn)樗鼈兛梢栽试S攻擊者“執(zhí)行任意代碼提升權(quán)限、執(zhí)行任意命令、繞過(guò)身份驗(yàn)證和授權(quán)保護(hù)，獲取并運(yùn)行未簽名的軟件，或?qū)е戮芙^服務(wù)。就思科本身來(lái)說(shuō)，他們是知道這個(gè)漏洞的存在的，只是不清楚其他威脅行為者是否會(huì)將這些漏洞武器化。為了降低漏洞的重大風(fēng)險(xiǎn)并防止它們被用作潛在網(wǎng)絡(luò)攻擊的載體，美國(guó)的聯(lián)邦機(jī)構(gòu)被要求在 2022 年 3 月 17 日之前應(yīng)用這些補(bǔ)丁。

思科還在上周發(fā)布了針對(duì)影響Expressway系列和思科網(wǎng)真視頻通信服務(wù)器 (VCS)的關(guān)鍵安全漏洞的補(bǔ)丁程序，該漏洞可能被惡意方利用以獲得提升的權(quán)限并執(zhí)行任意代碼。

參考來(lái)源：https://thehackernews.com/2022/03/cisa-adds-another-95-flaws-to-its.html