CISA的KEV目录更新了3个威胁IT管理系统的新缺陷

美国网络安全和基础设施安全局 (CISA) 已在其已知被利用漏洞 (KEV) 目录中添加了三个安全漏洞，并引用了积极利用的证据。

漏洞列表如下 –

• CVE-2022-35914（CVSS 评分：9.8）- Teclib GLPI远程代码执行漏洞
• CVE-2022-33891（CVSS 评分：8.8）- Apache Spark命令注入漏洞
• CVE-2022-28810（CVSS 评分：6.8）- Zoho ManageEngine ADSelfService Plus远程代码执行漏洞

三者中最关键的是CVE-2022-35914，它涉及第三方库htmlawed中的远程代码执行漏洞，该漏洞存在于开源资产和 IT 管理软件包Teclib GLPI中。

关于攻击性质的确切细节尚不清楚，但Shadowserver基金会在2022年10月指出，它发现了针对其蜜罐的利用企图。

VulnCheck 安全研究员Jacob Baines在2022年12月表示，从那时起，GitHub上就提供了基于cURL的单行概念验证 (PoC)，并且宣传了一种“大规模”扫描仪的销售。

此外，GreyNoise 收集的数据显示了来自美国、荷兰、香港、澳大利亚和保加利亚的40个恶意 IP 地址，试图利用该漏洞。

第二个缺陷是Apache Spark中一个未经身份验证的命令注入漏洞， Zerobot僵尸网络已利用该漏洞来选择易受攻击的设备，以执行分布式拒绝服务(DDoS)攻击。

最后，还添加到KEV目录中的是Zoho ManageEngine ADSelfService Plus中的一个远程代码执行漏洞，该漏洞已于2022年4月修复。

“多个Zoho ManageEngine ADSelfService Plus包含一个未指明的漏洞，允许在执行密码更改或重置时远程执行代码，”CISA 说。

发现该漏洞的网络安全公司Rapid7表示，它检测到威胁行为者的主动利用企图“执行任意操作系统命令，以便在底层系统上获得持久性，并试图进一步进入环境。”

API安全公司 Wallarm表示， 2022年12月以来，它发现了两个VMware NSX Manager漏洞（CVE-2021-39144和CVE-2022-31678）的持续利用尝试，可用于执行恶意代码和窃取敏感数据.

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4800.html