美国网络安全和基础设施安全局 (CISA) 将 Microsoft Windows MSHTML Platform 和 Progress WhatsUp Gold 错误添加到其已知被利用漏洞目录中。 美国网络安全和基础设施安全局 (CISA) 将 SonicWall、SonicOS、ImageMagick 和 Linux 内核漏洞添加到其已知利用漏洞 (KEV) 目录中。 以下是这些漏洞的描述: - CVE-2024-43461:Microsoft Windows MSHTML 平台欺骗漏洞
- CVE-2024-6670:Progress WhatsUp Gold SQL 注入漏洞
CVE-2024-43461 – Microsoft 本周警告说,攻击者在 2024 年 7 月之前将 Windows 漏洞 CVE-2024-43461 作为零日漏洞积极利用。 漏洞 CVE-2024-43461 是一个 Windows MSHTML 平台欺骗问题。MSHTML 是 Internet Explorer 使用的平台。尽管浏览器已停用,但 MSHTML 仍保留在 Windows 中,并且仍由某些应用程序使用。 ZDI 威胁搜寻团队发现了一个新的漏洞,类似于之前修补的 7 月漏洞,该漏洞被跟踪为 CVE-2024-38112。 “此漏洞允许远程攻击者在受影响的 Microsoft Windows 安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。“Internet Explorer 在下载文件后提示用户的方式中存在特定缺陷。构建的文件名可能会导致隐藏真实的文件扩展名,从而误导用户认为该文件类型是无害的。攻击者可以利用此漏洞在当前用户的上下文中执行代码。 尽管在 6 月份向 Microsoft 报告了它,但威胁行为者很快就想出了一种绕过补丁的方法。尽管被积极使用,但 Microsoft 并未将其标记为受到攻击。该漏洞会影响所有受支持的 Windows 版本。 “是的。CVE-2024-43461 在 2024 年 7 月之前被作为与 CVE-2024-38112 相关的攻击链的一部分被利用Microsoft。“我们在 2024 年 7 月的安全更新中发布了 CVE-2024-38112 的修复程序,该修复程序打破了这一攻击链。请参阅 [CVE-2024-38112 – 安全更新指南 – Microsoft – Windows MSHTML 平台欺骗漏洞[(https://msrc.microsoft.com/updat ... lity/CVE-2024-38112)。客户应同时更新 2024 年 7 月和 2024 年 9 月的安全更新,以充分保护自己。 2024 年 9 月的 Patch Tuesday 安全更新解决了 CVE-2024-43461 漏洞。 WhatsUp Gold 中的漏洞 CVE-2024-6670 是 SQL 注入身份验证绕过问题。 未经身份验证的攻击者可能会触发此漏洞以检索用户的加密密码。该漏洞会影响 2024.0.0 之前发布的 WhatsUp Gold 版本。 根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。 专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 7 日之前修复此漏洞。
|