美国网络安全和基础设施安全局 (CISA) 已在其已知被利用漏洞 ( KEV ) 目录中添加了三个安全漏洞,并引用了积极利用的证据。
漏洞列表如下 -
CVE-2022-35914(CVSS 评分:9.8)- Teclib GLPI 远程代码执行漏洞
CVE-2022-33891(CVSS 评分:8.8)- Apache Spark 命令注入漏洞
CVE-2022-28810(CVSS 评分:6.8)- Zoho ManageEngine ADSelfService Plus 远程代码执行漏洞
三者中最关键的是CVE-2022-35914,它涉及第三方库 htmlawed 中的远程代码执行漏洞,该漏洞存在于开源资产和 IT 管理软件包Teclib GLPI中。
关于攻击性质的确切细节尚不清楚,但 Shadowserver 基金会在 2022 年 10 月指出,它已经看到针对其蜜罐的利用企图。
VulnCheck 安全研究员 Jacob Baines在 2022 年 12 月表示,从那时起,GitHub 上就提供了基于 cURL 的单行概念验证 (PoC),并且宣传了一种“大规模”扫描仪的销售。
此外,GreyNoise 收集的数据显示了来自美国、荷兰、香港、澳大利亚和保加利亚的 40 个恶意 IP 地址,试图利用该漏洞。
第二个缺陷是 Apache Spark 中一个未经身份验证的命令注入漏洞, Zerobot 僵尸网络已利用该漏洞来选择易受攻击的设备,以执行分布式拒绝服务 (DDoS) 攻击。
最后,还添加到 KEV 目录中的是 Zoho ManageEngine ADSelfService Plus 中的一个远程代码执行漏洞,该漏洞已于 2022 年 4 月修复。
“多个 Zoho ManageEngine ADSelfService Plus 包含一个未指明的漏洞,允许在执行密码更改或重置时远程执行代码,”CISA 说。
发现该漏洞的网络安全公司 Rapid7表示,它检测到威胁行为者的主动利用企图“执行任意操作系统命令,以便在底层系统上获得持久性,并试图进一步进入环境。”
API 安全公司 Wallarm表示,自 2022 年 12 月以来,它发现了两个 VMware NSX Manager 漏洞(CVE-2021-39144和CVE-2022-31678)的持续利用尝试,可用于执行恶意代码和虹吸敏感数据。
