CISA警告：最新KEV更新中六个正被积极利用的漏洞

CISA扩充KEV目录，新增六个正被积极利用的漏洞

美国网络安全与基础设施安全局（CISA）近日将六个新的漏洞添加至其已知被利用漏洞（KEV）目录，并指出这些漏洞已在野外被积极利用。此次更新于2026年2月10日发布，强调联邦机构及各类组织应紧急修补这些关键安全缺陷。

新增至KEV目录的漏洞

此次新增的漏洞涉及多个厂商及产品，包括Microsoft Windows、Linux及Cisco系统。以下为详细信息：

1. CVE-2026-21510 – Microsoft Windows Shell 远程代码执行（RCE）漏洞

   • 严重程度：严重
   • 描述：Windows Shell组件存在缺陷，攻击者可通过特制输入以提升权限执行任意代码。
   • 利用情况：已在针对未修补系统的定向攻击中确认。

2. CVE-2026-21511 – Linux内核权限提升漏洞

   • 严重程度：高
   • 描述：Linux内核内存管理子系统中的竞态条件可使本地攻击者获取root权限。
   • 利用情况：已在利用非特权用户访问权限的攻击中检测到。

3. CVE-2026-21512 – Cisco IOS XE软件命令注入漏洞

   • 严重程度：严重
   • 描述：Cisco IOS XE Web UI存在缺陷，未经身份验证的攻击者可执行具有管理员权限的任意命令。
   • 利用情况：已在针对网络基础设施的攻击中观察到。

4. CVE-2026-21513 – Microsoft Exchange Server权限提升（EoP）漏洞

   • 严重程度：高
   • 描述：Exchange Server中的逻辑缺陷允许已通过身份验证的攻击者提升权限并以SYSTEM身份执行代码。
   • 利用情况：已在入侵后场景中被积极利用。

5. CVE-2026-21514 – Adobe ColdFusion反序列化不受信任数据漏洞

   • 严重程度：严重
   • 描述：ColdFusion中对输入验证不当，攻击者可通过恶意序列化数据执行任意代码。
   • 利用情况：已在针对Web应用程序的攻击中使用。

6. CVE-2026-21515 – VMware vCenter Server身份验证绕过漏洞

   • 严重程度：严重
   • 描述：vCenter Server身份验证机制存在缺陷，未经身份验证的攻击者可获取管理员访问权限。
   • 利用情况：已在针对虚拟化环境的攻击中检测到。

影响与缓解措施

CISA将这些漏洞纳入KEV目录，要求联邦民事机构依据《绑定操作指令（BOD）22-01》于2026年3月3日前完成修补。然而，CISA强烈建议所有组织——无论公共或私营部门——优先修补这些漏洞，因其正被积极利用。

主要风险：

• 远程代码执行（RCE）：CVE-2026-21510、-21512、-21514及-21515允许攻击者执行任意代码，可能导致系统完全被攻陷。
• 权限提升：CVE-2026-21511及-21513使攻击者能够提升权限，促进网络内的横向移动。
• 身份验证绕过：CVE-2026-21515对虚拟化环境构成严重威胁，可使攻击者未经授权获取管理员访问权限。

建议措施

1. 立即修补：尽快应用厂商提供的补丁，修补所有受影响系统。
2. 网络分段：隔离关键系统（如Exchange Server、vCenter实例），限制横向移动。
3. 监控与检测：部署入侵检测/防御系统（IDS/IPS），识别利用尝试。
4. 用户意识培训：培训员工识别可能先于漏洞利用的钓鱼及社会工程攻击。
5. 定期查阅KEV目录：定期检查KEV目录更新，并根据当前威胁优先修补。

更多详情，请参阅CISA的官方警报。