网络安全和基础设施安全局 (CISA) 在其攻击中利用的漏洞列表中增加了三个安全漏洞,包括一个 Bitbucket 服务器 RCE 和两个 Microsoft Exchange 零日漏洞。
据微软称, CISA 的 已知被利用漏洞 (KEV) 目录现在包括两个 Microsoft Exchange 零日漏洞 (CVE-2022-41040 和 CVE-2022-41082),这些漏洞在有限的有针对性的攻击中被利用。
虽然微软尚未发布安全更新来解决这对被积极利用的漏洞,但它 共享了缓解措施 ,要求客户添加一个 IIS 服务器阻止规则来阻止攻击尝试。
“微软还在监控这些已经部署的恶意活动检测,并将采取必要的响应措施来保护客户。[..]我们正在加快发布修复的时间表,”微软今天早些时候表示。
CISA 今天添加到其 KEV 列表中的第三个安全漏洞(跟踪为 CVE-2022-36804)是Atlassian 的 Bitbucket 服务器和数据中心中的一个严重严重性命令注入漏洞,具有公开可用的概念证明漏洞利用代码。
攻击者可以通过恶意 HTTP 请求利用该漏洞远程执行代码。尽管如此,他们必须有权访问公共存储库或读取私有存储库的权限。
此 RCE 漏洞影响 6.10.17 之后的所有 Bitbucket 服务器和数据中心版本,包括 7.0.0 和最高 8.3.0。
BinaryEdge 和 GreyNoise 证实,至少自 9 月 20 日以来,攻击者一直在扫描并试图利用 CVE-2022-36804
我们@SolveCyberRisk @binaryedgeio一直在观察对刚刚宣布的 CVE-2022-36804 的主动扫描和利用 – 此 CVE 影响 Atlassian Bitbucket,请前往补丁:https ://t.co/YYG1qY9uUg pic.twitter.com/Jy12W9ZB3E
— Tiago Henriques (@Balgan) 2022 年 9 月 23 日
联邦机构下令减轻
从 11 月起,根据具有约束力的运营指令 (BOD 22-01)的要求,所有联邦民事行政部门机构 (FCEB) 机构在将这三个积极利用的漏洞添加到 CISA 的 KEV 目录后,都为这三个积极利用的漏洞应用补丁或缓解措施 。
联邦机构有三周的时间,直到 10 月 21 日,以确保阻止利用尝试。
美国网络安全机构还强烈敦促全球所有私营和公共部门组织优先修补这些漏洞,尽管 BOD 22-01 仅适用于美国 FCEB 机构。
尽快应用补丁将帮助他们减少潜在攻击者在违规尝试中可能针对的攻击面。
“这些类型的漏洞是恶意网络参与者的常见攻击媒介,对联邦企业构成重大风险,”CISA 周四解释说。
自去年发布 BOD 22-01 绑定指令以来,CISA 已在其攻击中利用的漏洞目录中添加了 800 多个安全漏洞,同时要求联邦机构以更严格的时间表解决这些漏洞。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » CISA:黑客利用关键的Bitbucket Server漏洞进行攻击