美国网络安全局在已知被利用漏洞目录中添加6个漏洞

美国网络安全和基础设施安全局引用了活跃利用的证据，在其已知被利用的漏洞 ( KEV ) 目录中添加了一批六个漏洞。

其中包括 Apple 本周修补的三个漏洞（CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439）、VMware 中的两个漏洞（CVE-2023-20867和CVE-2023-20887）以及一个影响 Zyxel 设备的漏洞 ( CVE-2023-27992 )。

据称，CVE-2023-32434 和 CVE-2023-32435 均允许执行代码，它们被用作零日漏洞来部署间谍软件，作为 2019 年开始的长达数年的网络间谍活动的一部分。

该活动被称为三角测量操作，最终部署了TriangleDB，旨在从受感染的设备中获取广泛的信息，例如创建、修改、删除和窃取文件、列出和终止进程、从 iCloud 钥匙串收集凭据以及跟踪用户的位置。

攻击链始于目标受害者接收带有附件的 iMessage，该附件会自动触发有效负载的执行，无需任何交互，使其成为零点击漏洞。

卡巴斯基在其初步报告中指出：“恶意消息格式错误，不会为用户触发任何警报或通知。”

CVE-2023-32434 和 CVE-2023-32435 是 iOS 中在间谍攻击中被滥用的众多漏洞中的两个。其中之一是CVE-2022-46690，这是 IOMobileFrameBuffer 中的一个高严重性越界写入问题，流氓应用程序可以利用该问题以内核权限执行任意代码。

Apple 于 2022 年 12 月通过改进输入验证修复了该漏洞。

卡巴斯基将 TriangleDB 标记为包含引用 macOS 的未使用功能，以及寻求访问设备麦克风、摄像头和地址簿的权限，据称这些权限可以在未来使用。

这家俄罗斯网络安全公司于今年年初开始对“三角测量”行动进行调查，当时该公司检测到自己的企业网络遭到入侵。

鉴于活跃的利用情况，建议联邦民事行政部门 (FCEB) 机构应用供应商提供的补丁，以保护其网络免受潜在威胁。

这一进展发生之际，CISA发布了伯克利互联网域名 ( BIND ) 9 域名系统 (DNS) 软件套件中三个错误的警报，这些错误可能为拒绝服务 (DoS) 情况铺平道路。

这些缺陷 – CVE-2023-2828、CVE-2023-2829和CVE-2023-2911（CVSS 分数：7.5） – 可能会被远程利用，导致指定的 BIND9 服务意外终止或耗尽所有可用内存主机运行named，导致DoS。

这是互联网系统联盟 (ISC) 在不到六个月的时间里第二次发布补丁来解决 BIND9 中可能导致 DoS 和系统故障的类似问题。

原文始发于微信公众号（河南等级保护测评）：美国网络安全局在已知被利用漏洞目录中添加6个漏洞