CERT通告
CISA警示:四个正被积极利用的漏洞纳入KEV目录
1分钟阅读来源: CISA Cybersecurity Advisories
CVE-2019-19006
美国CISA更新已知被利用漏洞(KEV)目录,新增四个正被积极利用的高危漏洞,建议组织立即修复以防范网络威胁。
CISA更新已知被利用漏洞(KEV)目录,新增四个高危漏洞
美国网络安全与基础设施安全局(CISA)近日将四个新发现的漏洞添加至其已知被利用漏洞(KEV)目录,并指出这些漏洞已在野外(in the wild)被积极利用。联邦机构及各类组织应优先修复这些漏洞,以缓解持续的网络安全威胁。
新增至KEV目录的漏洞
此次更新的漏洞清单包括:
-
CVE-2019-19006 – Sangoma FreePBX
- 类型: 远程代码执行(RCE)
- 影响产品: Sangoma FreePBX(广泛使用的开源PBX系统)
- 影响: 攻击者可通过精心构造的HTTP请求在未经身份验证的情况下执行任意代码。
-
CVE-2019-2725 – Oracle WebLogic Server
- 类型: 反序列化远程代码执行(RCE)
- 影响产品: Oracle WebLogic Server(版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0)
- 影响: 无需身份验证即可被利用,攻击者可控制受影响的服务器。
-
CVE-2019-17621 – D-Link DIR-859路由器
- 类型: 命令注入
- 影响产品: D-Link DIR-859(固件版本早于1.06)
- 影响: 远程攻击者可通过精心构造的HTTP请求执行任意命令。
-
CVE-2016-4117 – Adobe Flash Player
- 类型: Use-After-Free远程代码执行(RCE)
- 影响产品: Adobe Flash Player(版本21.0.0.226及更早版本)
- 影响: 可通过恶意Flash内容被利用,导致任意代码执行。
技术分析与利用证据
CISA将这些漏洞纳入KEV目录,表明已有威胁行为者确认利用。尽管具体攻击细节尚未公开,但以下分析适用:
- CVE-2019-19006(Sangoma FreePBX): 攻击目标通常为暴露的Web界面,常见于配置不当的VoIP部署环境。
- CVE-2019-2725(Oracle WebLogic): 历史上曾被勒索软件团伙(如Sodinokibi/REvil)及加密货币挖矿恶意软件利用。
- CVE-2019-17621(D-Link DIR-859): 路由器漏洞常被用于僵尸网络招募(如Mirai变种)。
- CVE-2016-4117(Adobe Flash): 旧版Flash漏洞在未修补的环境中仍是持续的攻击媒介。
影响与缓解建议
使用受影响产品的组织应立即采取行动:
- 优先修补: 立即应用厂商提供的补丁。联邦机构须在CISA规定的期限内完成修复(通常为2–4周)。
- 网络隔离: 将易受攻击的系统(如VoIP服务器、路由器)与关键基础设施隔离。
- 减少暴露面: 禁用不必要的服务(如Flash Player),并限制对管理界面的访问。
- 威胁监测: 部署入侵检测/防御系统(IDS/IPS)以监测利用尝试。
安全团队后续步骤
- 资产清查: 识别环境中所有受影响的产品实例。
- 漏洞扫描: 使用Nessus或OpenVAS等工具检测未修补的系统。
- 事件响应: 如怀疑已被利用,需展开调查以确认潜在入侵。
更多指导请参阅CISA的KEV目录及厂商安全公告。
原始公告:CISA Alert AA26-033A