近日，美國網絡安全與基礎設施安全局(CISA)下令聯邦民事機構在未來三周內對谷歌Chrome零日漏洞和Redis的一個重要漏洞進行修補。

根據谷歌在上周發布的一份報告顯示，追蹤代碼為CVE-2022-1096的Chrome零日安全漏洞是Chrome V8 JavaScrip引擎中出現的一個高度嚴重類型混淆漏洞，該漏洞允許攻擊者在目標設備上執行任意代碼。

繼3月10日公開發布了一個概念驗證(PoC)漏洞后，Muhstik惡意軟件團伙為Redis Lua沙盒逃脫漏洞添加了一個專門的散布器漏洞(追蹤代碼為CVE-2022-1096)。

根據去年11月發布的一項約束性作業指令(BOD 22-01)，聯邦民事行政機構(FCEB)機構有保護他們的系統免受這些漏洞的攻擊的義務，因此CISA要求他們在4月18日之前修補漏洞。“這些類型的漏洞是各種惡意攻擊者頻繁利用的載體，它們會對聯邦企業構成重大風險”，對此美國網絡安全機構如此解釋道。

雖然BOD 22-01指令只適用于民事行政機構機構，但CISA也敦促私營和公共部門組織盡可能修補這些缺陷，以減少遭受持續網絡攻擊的風險。

上周五，CISA在其被積極利用的漏洞目錄中又增加了66個漏洞，其中包括一個Windows Print Spooler漏洞(追蹤代碼為CVE-2022-21999)，該漏洞允許代碼作為系統執行。隨后，CISA命令聯邦機構盡快修補這些漏洞，以消除安全隱患。

2022年以來，CISA已共計在其目錄中增加了數百個漏洞，它們都有充分被積極利用的證據。

值得一提的是，本次CISA還增加了一個Mitel TP-240 VoIP接口漏洞(追蹤代碼為CVE-2022-26143)，它的DDoS攻擊放大倍數創造了新的記錄，達到了43億比1。

事實上，自2022年初以來，美國網絡安全機構CISA就不斷敦促聯邦民事機構對以下領域的漏洞進行積極修補：：

• Mozilla的Firefox瀏覽器
• Zabbix服務器
• 谷歌Chrome和Adobe Commerce/Magento開放源代碼
• IPhone、Ipad和Mac
• Windows系統