美国网络安全和基础设施安全局(CISA)扩充了其已知漏洞(KEV)目录,突出强调了目前在野外被利用的五个安全漏洞。这些漏洞横跨微软、思科、Atlassian 和 Metabase 产品,对处理敏感数据或暴露于公共网络的系统构成重大风险。
1. CVE-2024-43451 (CVSS 6.5): NTLM 哈希值泄露漏洞
该漏洞因其触发简单而特别令人担忧。据微软称,与恶意文件的最小交互(如单击或右键单击操作)可能会将用户的 NTLMv2 哈希值暴露给远程攻击者。NTLM 哈希值是用户的加密凭据,攻击者可以通过它验证被攻击用户的身份,从而访问敏感资源。
2. CVE-2024-49039 (CVSS 8.8): Windows 任务调度程序权限提升漏洞
由 Google 的威胁分析小组发现,此漏洞允许攻击者执行特制的应用程序,将权限从低完整性 AppContainer 环境提升到中完整性级别。这种权限升级可使攻击者运行通常仅限于高权限账户的 RPC 功能,从而在未经授权的情况下访问原本受保护的资源。
3. CVE-2021-41277 (CVSS 10): Metabase GeoJSON API 本地文件包含漏洞
Metabase 是一个广泛使用的开源商业智能平台,它隐藏着一个关键漏洞,允许攻击者利用 GeoJSON API 进行本地文件包含。该漏洞可导致未经授权的数据访问和系统泄露,突出表明了及时进行软件更新和安全配置实践的重要性。
4. CVE-2014-2120: Cisco ASA WebVPN 跨站脚本漏洞
该漏洞存在于 Cisco Adaptive Security Appliance (ASA) 软件的 WebVPN 登录页面中,攻击者可利用该漏洞注入恶意脚本,从而可能泄露用户凭据并为会话劫持提供便利。这一遗留漏洞的持续存在强调了全面漏洞管理计划的重要性,以及解决所有系统漏洞(无论其使用年限长短)的必要性。
5. CVE-2021-26086 (CVSS 5.3): Atlassian Jira 服务器和数据中心路径遍历漏洞
Atlassian Jira Server and Data Center 存在此漏洞,攻击者可利用路径遍历漏洞,在未经授权的情况下访问敏感文件。该漏洞凸显了安全编码实践的重要性,以及进行持续安全测试以识别和修复软件应用程序漏洞的必要性。
减轻威胁
CISA 要求联邦经济与商业委员会各机构在 2024 年 12 月 3 日前修补这些漏洞,这是对各行业组织优先进行漏洞管理的重要提醒。
文章原文链接:https://www.anquanke.com/post/id/301822