【有洞快補】CISA 增 75 個常遭入侵漏洞至「必須修補」列表
一個漏洞足以令整個電腦系統死機,網絡安全專家一早提醒有 patch 快補,切勿讓威脅者有機可乘。網絡安全和基礎設施安全局 (CISA) 提醒所有人都應修補軟件漏洞,並在一周之內將 75 個常遭入侵漏洞增至「必須修補(must-patch)」列表中,當中包括 Microsoft Silverlight plug-in 和 Adobe Flash Player 中的一些較舊的程式缺陷。
CISA 在其已知被利用的軟件漏洞列表中,添加三批必須修復的錯誤。第一批涵蓋 21 個漏洞,第二批涵蓋 20 個已知被利用的漏洞,第三批涵蓋了另外 34 個漏洞,並提出美國聯邦機構必須在 CISA 所定的期限之前修補漏洞。這些漏洞並非全屬最新的技術,需修補的包括於 2021 年 10 月終止支援 Microsoft Silverlight 等軟件中非常舊的錯誤,還有同樣不再支援及更新的 Adobe Flash Player plug-in;現時所有瀏覽器都已停止對 Flash 內容的支持,Microsoft 甚至在去年從 Windows 中刪除了 Flash。至於 Silverlight 仍有可能作為內部遺留應用程式或網站,而在政府系統中運行,例如 Silverlight 應用程式仍可在 Edge 的 IE 模式下運行。
其餘的更新包括在 2016 年和 2015 年揭露的 Flash 漏洞,以及在 2013 年已發現的 Silverlight 漏洞。另外還有影響 WhatsApp、Kaseya、Mozilla Firefox、Apple 的 iOS 和 Google Chrome 的舊有漏洞;在 2015 年至 2018 年間所披露了的眾多 Windows 漏洞、2014 年的幾個 Internet Explorer 漏洞、2014 年的 Linux 內核權限提升漏洞,以及在 2010 年的幾個 Oracle Java 遠程代碼執行漏洞,統統包含在內。
儘管這些漏洞年代久遠,但惡意軟件仍經常利用這些舊漏洞作入侵途徑,因為他們知道某些軟件仍未作修補。HP 威脅研究人員警告指,Snake 鍵盤記錄器背後的攻擊者,正利用 2017 年披露的 Microsoft 舊版公式編輯器軟件 (CVE-2017-11882) 中的漏洞,早在 Microsoft 於 2017 年末推出修補程式後,攻擊者就開始利用該漏洞。Microsoft 在 2018 年從 Word 中刪除了這項的功能,但它仍是今天可被利用的常見漏洞。
雖然大部分都是比較舊的漏洞,但也有新的漏洞被包含在內,如在 2022 年才披露的 Cisco IOS XR 軟件 (CVE-2022-20821)。Cisoco 在前一週才披露這個漏洞,並予以嚴重程度中等評級,又指在 5 月份已知有人正試圖利用這個漏洞。
CISA 提醒,這些漏洞是惡意網絡參與者的常用攻擊媒介,對聯邦企業構成重大風險,呼籲盡快作修補。
