美國網路安全暨基礎設施安全局(CISA)近日將四個漏洞加入其已知遭利用漏洞(Known Exploited Vulnerabilities,KEV)目錄,其中包含廣泛使用的 Microsoft .NET Framework 和 Apache OFBiz 的重大安全漏洞。CISA 呼籲聯邦機構和大型組織儘速進行安全更新,台灣組織單位也應注意這四個漏洞。
在這些新增的漏洞中,
Microsoft .NET Framework 的資訊洩露漏洞(CVE-2024-29059)具有高度嚴重性(CVSS v3 評分:7.5)。該漏洞最初由 CODE WHITE 於 2023 年 11 月發現並向微軟通報。雖然微軟起初認為該問題「不符合立即維修的標準」,但最終在 2024 年 1 月的安全更新中修復。值得注意的是,微軟直到 2024 年 3 月才正式發布 CVE-2024-29059 的安全公告,並確認了研究人員的發現。
另一個重要漏洞是影響
Apache OFBiz 的遠端程式碼執行漏洞(CVE-2024-45195),其嚴重性評分高達 9.8。該漏洞存在於 18.12.16 版本之前的版本中,源於強制瀏覽弱點,使未經驗證的使用者可以直接存取受限制的路徑。該漏洞由 Rapid7 發現並提供概念驗證(PoC)攻擊程式碼,廠商已於 2024 年 9 月發布修補程式。
CISA 要求可能受影響的機構和組織必須在 2025 年 2 月 25 日前採取修補措施或停止使用受影響產品。此外,此次更新還包含兩個影響
Paessler PRTG 網路監控軟體的舊漏洞(CVE-2018-9276 和 CVE-2018-19410),這些問題在 2018 年 6 月發布的 18.2.41.1652 版本中已修復。
Linux 內核漏洞應速修補:CVE-2024-53104
該漏洞(CVE-2024-53104)最早出現在 Linux 核心 2.6.26 版本,
Google 已於近日為 Android 用戶發布修補程式。根據 Android 2025 年 2 月的安全更新公告指出:「有跡象顯示 CVE-2024-53104 可能正遭受有限度的針對性攻擊。」
Google 的安全公告說明,這個漏洞源於 USB 視訊類別(UVC)驅動程式中的越界寫入問題。在未經修補的裝置上,攻擊者無需額外的執行權限即可實現實體權限提升。該問題起因於驅動程式在 uvc_parse_format 函式中無法正確解析 UVC_VS_UNDEFINED 幀,導致幀緩衝區大小計算錯誤和潛在的越界寫入。
雖然 Google 未提供更多關於零時差攻擊的細節,但 GrapheneOS 開發團隊表示,這個 USB 周邊驅動程式漏洞「很可能是取證數據提取工具所利用的 USB 漏洞之一」。CISA 表示,這類漏洞經常成為惡意網路攻擊者的攻擊媒介,將構成重大風險。
美國聯邦機構必須針對 CISA 已知遭利用漏洞目錄中的漏洞進行防護。CISA 已要求聯邦民政行政分支(FCEB)機構在 2 月 26 日前完成其 Linux 和 Android 裝置的修補工作。
雖然 CISA 將這些漏洞標記為已遭攻擊者利用,但目前尚未披露具體的惡意活動細節、攻擊者身份以及攻擊目標。資安專家建議組織立即更新至最新版本,以防止潛在的安全威脅。
本文轉載自bleepingcomputer。