本周,美国网络安全和基础设施安全局(CISA)在其漏洞利用目录中新增了 95 个新的安全漏洞,使可利用漏洞总数达到 478 个。该机构在 2022 年 3 月 3 日发布的一份咨询报告中表示:“这些类型的漏洞是恶意网络参与者的常见攻击载体,对联邦企业构成重大风险。在新增的 95 个漏洞中,思科占 38 个,微软 27 个,Adobe 16 个,甲骨文 7 个,Apache tomcat,chakracore,exim,Mozilla Firefox、Linux 内核、Siemens SIMATIC CP、treck TCP/Ip Stack (Eswink技术学习)
该列表包括在 Cisco RV 路由器中发现的五个问题,CISA 指出这些问题正被用于实际攻击。这些漏洞在上个月初被暴露,允许以 Root 权限执行任意代码。其中三个漏洞——cve-2022-20699、cve-2022-20700 和 cve-2022-20708——在 CVss 等级中被评为 10 分之 10,允许攻击者注入恶意命令,增加根权限并在易受攻击的系统上运行任意代码
CISA 表明 cve-2022-20701(CVss 分数:9.0)和 cve-2022-20703(CVss 分数:9.3)之间没有差异,因为他们可以允许攻击者“执行任意代码、提升权限、执行任意命令、绕过身份验证和授权保护、获取并运行未签名的软件,或导致拒绝服务。Cisco 本身知道该漏洞的存在,但尚不清楚其他威胁参与者是否会将这些漏洞武器化。为了减少由于存在漏洞的重大风险,并防止其被用作潜在网络攻击的载体,美国联邦机构必须在 3 月 17 日之前应用这些补丁,2022 年
思科上周还发布了一个补丁,用于解决影响高速公路系列和思科临场感视频通信服务器(VCS)的一个关键安全漏洞,恶意方可能会利用该漏洞获取提升的权限并执行任意代码。
