CISA警示：最新KEV更新中五个正被积极利用的漏洞

CISA扩充KEV目录，新增五个正被积极利用的漏洞

美国网络安全与基础设施安全局（CISA）近日将五个新的漏洞添加至其已知被利用漏洞（KEV）目录，并指出这些漏洞已在野外被积极利用。此次更新发布于2026年1月26日，根据约束性操作指令（BOD）22-01，联邦民事机构须在2026年2月16日前完成这些漏洞的修复工作。

新增CVE的技术细节

此次新增的漏洞包括：

1. CVE-2024-21887（Ivanti Connect Secure 和 Policy Secure）

   • 类型：命令注入漏洞
   • 严重性：严重（CVSS 9.1）
   • 影响：允许未经身份验证的攻击者通过精心构造的请求在易受攻击的系统上执行任意命令。

2. CVE-2023-46805（Ivanti Connect Secure 和 Policy Secure）

   • 类型：身份验证绕过
   • 严重性：高（CVSS 8.2）
   • 影响：使攻击者能够绕过身份验证控制，未经授权访问受限资源。

3. CVE-2023-22527（Atlassian Confluence Data Center 和 Server）

   • 类型：远程代码执行（RCE）
   • 严重性：严重（CVSS 10.0）
   • 影响：利用模板注入漏洞，允许未经身份验证的攻击者在易受攻击的Confluence实例上执行任意代码。

4. CVE-2024-0204（Fortra GoAnywhere MFT）

   • 类型：身份验证绕过
   • 严重性：严重（CVSS 9.8）
   • 影响：允许攻击者创建管理员用户并完全控制受影响的系统。

5. CVE-2023-27532（Apache Superset）

   • 类型：不安全的默认配置
   • 严重性：高（CVSS 8.9）
   • 影响：由于Superset安装中的默认SECRET_KEY，允许未经授权的攻击者进行身份验证并访问敏感数据。

影响分析

这些漏洞对使用Ivanti、Atlassian Confluence、Fortra GoAnywhere或Apache Superset的组织构成重大风险。已观察到这些漏洞被积极利用，威胁行为者利用这些漏洞进行以下活动：

• 获取对企业网络的未经授权访问
• 部署勒索软件或其他恶意软件
• 窃取敏感数据
• 建立持久性以进行进一步攻击

联邦机构须在2月16日截止日期前修补这些漏洞，但CISA强烈建议所有组织——无论公共还是私营部门——优先进行修复，以减轻潜在的入侵风险。

安全团队建议

1. 立即修补：毫不延迟地应用供应商提供的补丁或缓解措施。
2. 网络分段：隔离易受攻击的系统，以限制在发生利用时的横向移动。
3. 监控与检测：部署入侵检测/防御系统（IDS/IPS）以识别利用尝试。
4. 用户意识培训：培训员工识别可能先于漏洞利用的钓鱼或社会工程攻击。
5. 定期审查KEV目录：定期检查CISA的KEV目录更新，并优先修复列出的漏洞。

更多详情，请参阅CISA的官方公告。