据了解,美国网络安全和基础设施建设安全局(CISA)在其积极主动利用漏洞列表中增加了7个漏洞,主要包括来源于Microsoft、Linux和Jenkins的漏洞。
“已知被利用漏洞文件目录”是已知在黑客攻击中被积极主动利用并须要由联邦政府民事法律法院院长(FCEB)修复的漏洞列表。
美国网络安全和基础设施建设安全局(CISA)表明,该文件目录依据 管束实际操作命令(BOD)22-01:减少已知被利用漏洞的重大风险 创建,做为纪录已知会给联邦政府公司产生重大风险的CVE漏洞动态性列表。BOD22-01规定联邦政府民事法律法院院长(FCEB)组织在截至日期前修补已鉴别的漏洞,以保障其互联网免遭危害。
文件目录中列举的漏洞使危害参加者可以实行各种各样进攻,包含盗取凭证、浏览互联网、远程控制运行命令、免费下载和实行恶意程序及其从机器设备盗取信息内容。
再加上这七个漏洞,该文件目录如今一共有654个漏洞,在其中也包含了联邦政府组织务必开展修补和安全补丁的日期。下边列举了本次加上的七个新漏洞,美国网络安全和基础设施建设安全局(CISA)规定有关单位在2022年5月16日以前修复这种漏洞。
被跟踪为CVE-2022-29464的WSO2漏洞在2022年4月18日被公布,几日后,全世界领跑的网络安全公司Rapid7的分析工作人员发觉公布的PoC被用以进攻中,布署WebShell和coinminer挖币恶意程序。
被跟踪为CVE-2022-21919和CVE-2022-26904的Microsoft Windows客户环境变量服务项目管理权限提高漏洞,均由微软公司的分析工作人员Abdelhamid Naceri发觉,勒索病毒犯罪团伙利用这种漏洞根据Windows域开展横着散播。
跟踪为CVE-2022-0847的DirtyPipe Linux特权更新漏洞于2022年3月被公布,没多久后,很多定义认证漏洞就被公布,容许客户迅速得到root权限,如下图所示。
被跟踪为CVE-2021-40450和CVE-2021-41357的Microsoft Win32k管理权限提高漏洞已于2021年10月被修复,它是列表中非常的填补,由于其郊外利用状况沒有被公布谈及。
全部网络安全专业技术人员和管理人员都应当查询已知被利用漏洞文件目录并在其自然环境中修复这种漏洞。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
