美国网络安全和基础设施安全局(CISA)额外周一,影响思科和Windows产品的两个安全漏洞影响其已知的被剥削漏洞(KEV)目录,警告组织恶意演员主动剥削的组织。
基于剥削运动的证据,已经将两个下面提到的漏洞添加到KEV中,是恶意网络参与者的经常攻击向量,并对组织构成了重大风险。这些都是:
CVE-2023-20118(CVSS得分:6.5)- 思科小型企业RV系列路由器命令注入漏洞:
这个缺陷存在于Cisco Small Business Routers RV016,RV042,RV042G,RV082,RV320和RV325路由器的基于Web的管理接口中。
该漏洞允许经过身份验证的远程攻击者在受影响的设备上执行任意命令,这是由于对传入的HTTP数据包中用户输入的不当验证所致。
攻击者可以通过向基于Web的管理接口发送专门精心设计的HTTP请求来利用此漏洞。
如果成功,攻击者可以获得根级特权并访问未经授权的数据。但是,开发需要在受影响的设备上有效的管理凭据。
CVE-2018-8639(CVSS分数:7.8) - Microsoft Windows Win32K不当关机或发布漏洞:
该缺陷是特权漏洞的高度,当Win32K组件无法正确处理内存中的对象时,它存在于Windows中,也就是“ Win32K的特权脆弱性高程”。
利用此漏洞可以使本地攻击者获得高架特权,并可能在内核模式下运行任意代码,从而有效地控制受影响的Windows系统。
根据安全咨询CVE-2018-8639于2018年12月发行,漏洞会影响Windows 7,Windows Server 2012 R2,Windows RT 8.1,Windows Server 2008,Windows Server 2019,Windows Server 2012,Windows 8.1,Windows Server 2016,Windows Server 2016,Windows Server 2008 R2,Windows R2,Windows 10和Windows 10 Server。
为了响应这些漏洞的积极剥削,CISA已要求所有联邦民用行政部门(FCEB)机构,截至2021年11月22-01的约束力运营指令(BOD)22-01,以在2025年3月24日之前应用这些补丁,以减轻已确定的漏洞并保护其网络的潜在威胁。
就CVE-2023-20118的漏洞而言,Cisco尚未发布修复它的补丁,因为受影响的模型已经达到了其寿命(EOL)。
另一方面,Microsoft通过Microsoft Windows Security更新了2018年12月的CVE-2018-8639漏洞。
建议使用这些产品的组织采取立即的防御措施,例如禁用远程管理,升级到最新的固件,监视异常网络活动,使用强大的凭据,例如复杂的密码,限制对信任来源的访问以及实施多层防御策略。
