近日，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)下令聯(lián)邦民事機(jī)構(gòu)在未來(lái)三周內(nèi)對(duì)谷歌Chrome零日漏洞和Redis的一個(gè)重要漏洞進(jìn)行修補(bǔ)。

根據(jù)谷歌在上周發(fā)布的一份報(bào)告顯示，追蹤代碼為CVE-2022-1096的Chrome零日安全漏洞是Chrome V8 JavaScrip引擎中出現(xiàn)的一個(gè)高度嚴(yán)重類型混淆漏洞，該漏洞允許攻擊者在目標(biāo)設(shè)備上執(zhí)行任意代碼。

繼3月10日公開發(fā)布了一個(gè)概念驗(yàn)證(PoC)漏洞后，Muhstik惡意軟件團(tuán)伙為Redis Lua沙盒逃脫漏洞添加了一個(gè)專門的散布器漏洞(追蹤代碼為CVE-2022-1096)。

根據(jù)去年11月發(fā)布的一項(xiàng)約束性作業(yè)指令(BOD 22-01)，聯(lián)邦民事行政機(jī)構(gòu)(FCEB)機(jī)構(gòu)有保護(hù)他們的系統(tǒng)免受這些漏洞的攻擊的義務(wù)，因此CISA要求他們?cè)?月18日之前修補(bǔ)漏洞?！斑@些類型的漏洞是各種惡意攻擊者頻繁利用的載體，它們會(huì)對(duì)聯(lián)邦企業(yè)構(gòu)成重大風(fēng)險(xiǎn)”，對(duì)此美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)如此解釋道。

雖然BOD 22-01指令只適用于民事行政機(jī)構(gòu)機(jī)構(gòu)，但CISA也敦促私營(yíng)和公共部門組織盡可能修補(bǔ)這些缺陷，以減少遭受持續(xù)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

上周五，CISA在其被積極利用的漏洞目錄中又增加了66個(gè)漏洞，其中包括一個(gè)Windows Print Spooler漏洞(追蹤代碼為CVE-2022-21999)，該漏洞允許代碼作為系統(tǒng)執(zhí)行。隨后，CISA命令聯(lián)邦機(jī)構(gòu)盡快修補(bǔ)這些漏洞，以消除安全隱患。

2022年以來(lái)，CISA已共計(jì)在其目錄中增加了數(shù)百個(gè)漏洞，它們都有充分被積極利用的證據(jù)。

值得一提的是，本次CISA還增加了一個(gè)Mitel TP-240 VoIP接口漏洞(追蹤代碼為CVE-2022-26143)，它的DDoS攻擊放大倍數(shù)創(chuàng)造了新的記錄，達(dá)到了43億比1。

事實(shí)上，自2022年初以來(lái)，美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)CISA就不斷敦促聯(lián)邦民事機(jī)構(gòu)對(duì)以下領(lǐng)域的漏洞進(jìn)行積極修補(bǔ)：：

• Mozilla的Firefox瀏覽器
• Zabbix服務(wù)器
• 谷歌Chrome和Adobe Commerce/Magento開放源代碼
• IPhone、Ipad和Mac
• Windows系統(tǒng)