CISA 已在其 active exploit directory 中添加了 95 个新漏洞

本周，美国网络安全和基础设施安全局（CISA）在其漏洞利用目录中新增了 95 个新的安全漏洞，使可利用漏洞总数达到 478 个。该机构在 2022 年 3 月 3 日发布的一份咨询报告中表示：“这些类型的漏洞是恶意网络参与者的常见攻击载体，对联邦企业构成重大风险。在新增的 95 个漏洞中，思科占 38 个，微软 27 个，Adobe 16 个，甲骨文 7 个，Apache tomcat，chakracore，exim，Mozilla Firefox、Linux 内核、Siemens SIMATIC CP、treck TCP/Ip Stack (Eswink技术学习)

该列表包括在 Cisco RV 路由器中发现的五个问题，CISA 指出这些问题正被用于实际攻击。这些漏洞在上个月初被暴露，允许以 Root 权限执行任意代码。其中三个漏洞——cve-2022-20699、cve-2022-20700 和 cve-2022-20708——在 CVss 等级中被评为 10 分之 10，允许攻击者注入恶意命令，增加根权限并在易受攻击的系统上运行任意代码

CISA 表明 cve-2022-20701（CVss 分数：9.0）和 cve-2022-20703（CVss 分数：9.3）之间没有差异，因为他们可以允许攻击者“执行任意代码、提升权限、执行任意命令、绕过身份验证和授权保护、获取并运行未签名的软件，或导致拒绝服务。Cisco 本身知道该漏洞的存在，但尚不清楚其他威胁参与者是否会将这些漏洞武器化。为了减少由于存在漏洞的重大风险，并防止其被用作潜在网络攻击的载体，美国联邦机构必须在 3 月 17 日之前应用这些补丁，2022 年

思科上周还发布了一个补丁，用于解决影响高速公路系列和思科临场感视频通信服务器（VCS）的一个关键安全漏洞，恶意方可能会利用该漏洞获取提升的权限并执行任意代码。