查看原文
其他

古早但有用:CISA 发布15个正遭利用的老旧漏洞

Ionut Ilascu 代码卫士 2022-05-25

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


美国网络安全和基础设施安全局 (CISA) 更新已知的已利用漏洞列表,新增了15个常用于攻击联邦企业的攻击向量。


这15个漏洞的严重性和披露日期各不相同,其中某些漏洞为中风险,有些漏洞最早现身于2013年。鉴于其它因素如威胁者驻留网络、老旧未修复设备、暴露在公开网络的设备等,这些漏洞带来严重的安全风险且提供了攻击机会。


老旧漏洞


CISA 发现证据表明,新增加的这些漏洞正在遭利用。在这15个漏洞中,仅有4个是2020年发生的,另外1个是2021年发生,其余漏洞至少已存在两年之久,且最老旧的漏洞现身于2013年(CVE-2013-3900),影响Windows XP SP2 至 Server 2012 版本。

另外一个漏洞是出现在2015年的 CVE-2015-7450。该漏洞是位于 IBM WebSphere Application Server 和 Server Hy Server Hypervisor Edition 中的严重远程代码执行漏洞,CVSS评分为9.8.

如下是CISA 提醒联邦机构应在本月防御的所有漏洞。CISA 建议按照每个厂商的指南应用安全更新。


CISA 推出的已知已利用漏洞分类是 BOD 22-01 的组成部分,目的是减少安全风险并更好地管理漏洞。该指令要求联邦民事机构必须查看系统中是否存在所列漏洞并进行缓解。尽管该分类表主要针对的是联邦民事机构,但对于所有机构而言都不失为降低网络风险的良好参照。








推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
美国CISA 列出300个已遭利用漏洞,督促组织机构及时修复老旧漏洞不修复,西部数据存储设备数据遭擦除
黑客利用老旧安全缺陷攻破数万未打补丁的 Fortinet VPN 设备
因使用五年前的老旧代码,Azure 容器险遭黑客接管,微软已修复
苹果修复老旧设备中的两个 iOS 0day
微软:今年7月起,不再为使用 SHA-1 的老旧操作系统提供更新
因使用老旧路由器 俄罗斯银行被盗百万美元




原文链接

https://www.bleepingcomputer.com/news/security/cisa-alerts-federal-agencies-of-ancient-bugs-still-being-exploited/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存