美國網路安全和基礎設施安全局(CISA)在其漏洞(KEV)目錄中新增三個安全性漏洞:
- CVE-2023-28432 (CVSS評分- 7.5)- MinIO資訊洩露漏洞
- CVE-2023-27350 (CVSS評分- 9.8)- Papercut MF/NG不當存取控制漏洞
- CVE-2023-2136 (CVSS評分-待定)- Google Chrome Skia整數溢出漏洞
MinIO的維護人員在2023年3月21日發佈安全通報表示,在叢集部署中,MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD會還原所有環境變數,導致資訊洩露。
據GreyNoise收集的資料顯示,在過去的30天裡,來自美國、荷蘭、法國、日本和芬蘭等多達18個惡意IP位址試圖利用該漏洞。值得注意的是,GreyNoise在上月底發佈的警報檔中指出,OpenAI曾為開發者提供了一個參考方法,在舊版MinIO (存在CVE-2023-28432漏洞) 將插件整合到ChatGPT上。
GreyNoise表示,OpenAI開發的新功能對於那些想在ChatGPT整合存取不同廠商即時資料的開發人員來說,是一個非常有價值的工具,但安全性應該被考慮為最核心設計原則。
此外,KEV目錄中還添加了一個會致使PaperCut軟體遠端程式碼執行錯誤的漏洞。攻擊者可以通過該漏洞實現免身份驗證,並直接遠端運行任意程式碼。
不過截至2023年3月8日,供應商已經修復了該漏洞,並發佈了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已於2023年1月10日正式報告了該問題,並預計將於2023年5月10日發佈更多技術細節。
網路安全公司Arctic Wolf也發現了一些PaperCut伺服器被入侵的情況。一經入侵,RMM的工具Synchro MSP會直接在被損害系統上自動載入。
最後一個被添加至目錄的是Google Chrome漏洞,該漏洞會直接影響到Skia 2D圖形庫,並可以讓威脅者通過精心製作的HTML頁面執行沙箱逃逸。
CISA建議美國聯邦民事行政部門(FCEB)機構在2023年5月12日之前儘快修復這幾個漏洞,以確保網路安全。
本文轉載自The Hacker News。