美国信息系统审计与控制协会更新被利用漏洞目录名单

美国CISA将IBM Aspera Faspex和Mitel MiVoice中被主动利用的漏洞添加到其已知利用漏洞目录中。

美国 CISA(美国信息系统审计与控制协会) 在其已知利用漏洞目录中添加了以下被积极利用的漏洞 ：

CVE-2022-47986（CVSS 分数：9.8）——IBM Aspera Faspex 代码执行漏洞——远程攻击者可以触发漏洞在系统上执行任意代码。该问题是由YAML反序列化问题引起的。Shadowserver Fondation 的研究人员证实了该漏洞在野外的积极利用并发布了相应的POC利用程序。

CVE-2022-41223（CVSS 分数：6.8）——Mitel MiVoice Connect 代码注入漏洞——具有内部网络访问权限的经过身份验证的攻击者可以触发该漏洞以在应用程序的上下文中执行代码。

CVE-2022-40765（CVSS 分数：6.8）——MiVoice Connect 的 Mitel Edge Gateway 组件允许具有内部网络访问权限的经过身份验证的攻击者在系统上下文中执行命令。

根据Binding Operational Directive (BOD) 22-01要求，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私人企业应当组织审查并解决其基础设施中存在的漏洞，同时CISA 命令联邦机构在2023年3月14日之前修复这些漏洞。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4309.html