IBM Aspera Faspex 漏洞在野外被利用

使用 IBM 的 Aspera Faspex 文件传输解决方案的组织已收到警告，最近修补的漏洞正在被广泛利用。

该安全漏洞被追踪为CVE-2022-47986并被归类为“高严重性”，是一个 YAML 反序列化漏洞，远程攻击者可以利用该漏洞使用特制的 API 调用执行任意代码。 

该问题由攻击面管理公司 Assetnote 的研究人员发现，并于 2022 年 10 月向 IBM 报告。IBM 发布了一个补丁，并于 2023 年 1 月告知客户其存在。

2 月 2 日，即 IBM 的公告发布大约一周后，Assetnote 发布了一篇详细介绍该漏洞的博客文章，解释说未经身份验证的攻击者可以利用 CVE-2022-47986 在目标 Aspera Faspex 服务器上执行任意命令。 

Assetnote 还提供了漏洞利用代码。不久之后，漏洞利用程序在各种网站上发布并集成到漏洞扫描器中。 

一名使用在线绰号 N3sfox 的威胁猎人报告说，他在 2 月 3 日看到了第一次利用尝试，并在几天后 提供了妥协指标 (IoC) 。

非营利网络安全组织 Shadowserver Foundation 也报告称，在 2 月 3 日和 4 日观察到了利用企图和攻击，然后在 2 月 11 日再次开始。 

观察到的一些利用尝试可能是由寻找易受攻击系统的安全研究人员和公司触发的。目前尚不清楚有多少攻击是恶意的，也不清楚威胁者在受感染的系统上做了什么。 

Shodan 搜索显示超过 100 个暴露在互联网上的 Aspera Faspex 服务器，大部分位于美国和英国。 

Aspera Faspex 并不是最近几周成为攻击目标的唯一企业文件传输解决方案。GoAnywhere 托管文件传输 (MFT) 软件中的漏洞已被利用至少两周时间，受害者已开始站出来披露重大影响。 

思维导图下载：GB-T 39276-2020 网络产品和服务安全通用要求

网络安全等级保护：移动互联安全扩展测评PPT

300多页网络安全知识小册子2023版下载

网络安全等级保护：网络安全等级保护安全设计技术要求PPT

全国网络安全等级测评与检测评估机构目录

分析显示：98% 的公司的供应链关系已被破

2023年五个关键网络安全趋势

15个网络安全等级保护和等级测评PPT课件打包下载

网络安全的下一步是什么

网络安全等级保护：第三级网络安全设计技术要求整理汇总

网络安全等级保护：信息安全服务提供方管理要求

网络安全对抗行为（十八）：用于了解恶意操作的模型及攻击归因和结论

网络安全对抗行为（十九）：词汇表

网络安全培训：如何建立网络意识的企业文化

网络安全取证（九）操作系统分析之存储取证

网络安全取证（十）操作系统分析之存储取证

网络安全取证（十二）数据恢复和文件内容雕刻

网络安全取证（十六）云取证

网络安全取证（十七）伪影分析

网络安全取证（十三）数据恢复和文件内容雕刻（下）

网络安全取证（十一）操作系统分析之块设备分析

网络安全运营和事件管理（二十）：执行-缓解和对策之拒绝服务

网络安全运营和事件管理（二十二）：执行-缓解和对策之站点可靠性工程

网络安全运营和事件管理（二十六）：知识-智能和分析之态势感知

网络安全运营和事件管理（二十七）：人为因素：事件管理

网络安全运营和事件管理（二十三）：知识-智能和分析之网络安全知识管理

网络安全运营和事件管理（二十四）：知识-智能和分析之蜜罐和蜜网

网络安全运营和事件管理（二十五）：知识-智能和分析之网络威胁情报

网络安全运营和事件管理（二十一）：执行-缓解和对策之SIEM平台和对策

网络安全运营和事件管理（十八）：计划-警报关联

网络安全运营和事件管理（十九）：执行-缓解和对策之入侵防御系统

网络安全运营和事件管理（十六）：分析之基准利率谬误

网络安全运营和事件管理（十七）：计划-安全信息和事件管理及数据收集

网络安全运营和事件管理（一）：简介

网络安全之事件管理

网络安全之云计算的安全风险

网络安全知识：什么是社会工程学

网络安全知识体系1.1对抗行为（十七）：用于了解恶意操作的模型之地下经济建模为资本流动

网络安全知识体系1.1对抗行为（十三）：恶意操作的要素之支付方式

网络安全知识体系1.1恶意软件和攻击技术（六）：恶意软件分析

网络安全知识体系1.1恶意软件和攻击技术（十三）：恶意软件响应及中断

网络安全知识体系1.1法律法规（二十）信息系统犯罪的执法与处罚

网络安全知识体系1.1法律法规（二十八）法律约束—合同

网络安全知识体系1.1法律法规（二十九）侵权行为

网络安全知识体系1.1法律法规（二十六）违约和补救措施

网络安全知识体系1.1法律法规（二十七）合同对非缔约方的影响

网络安全知识体系1.1法律法规（二十五）责任限制和责任排除

网络安全知识体系1.1法律法规（二十一）不受欢迎的自助：软件锁定和黑客攻击

网络安全知识体系1.1法律法规（九）数据主权问题

网络安全知识体系1.1法律法规（三十）  对缺陷产品严格负责

网络安全知识体系1.1法律法规（三十八）国际待遇和法律冲突

网络安全知识体系1.1法律法规（三十二）赔偿责任的数额

网络安全知识体系1.1法律法规（三十九）互联网中介机构-免于承担责任和撤销程序

网络安全知识体系1.1法律法规（三十六）执行–补救措施

网络安全知识体系1.1法律法规（三十七）逆向工程

网络安全知识体系1.1法律法规（三十三）

网络安全知识体系1.1法律法规（三十三）归因、分摊和减少侵权责任

网络安全知识体系1.1法律法规（三十四）法律冲突–侵权行为

网络安全知识体系1.1法律法规（三十五）知识产权

网络安全知识体系1.1法律法规（三十一）  限制责任范围：法律因果关系

网络安全知识体系1.1法律法规（十）国际人权法的基础

网络安全知识体系1.1法律法规（十八）执行和处罚

网络安全知识体系1.1法律法规（十二）国家以外的人的拦截

网络安全知识体系1.1法律法规（十九）电脑犯罪

网络安全知识体系1.1法律法规（十六）国际数据传输

网络安全知识体系1.1法律法规（十七）  个人数据泄露通知

网络安全知识体系1.1法律法规（十三）数据保护

网络安全知识体系1.1法律法规（十四）核心监管原则

网络安全知识体系1.1法律法规（十五）适当的安全措施

网络安全知识体系1.1法律法规（十一）国家拦截

网络安全知识体系1.1法律法规（四十）文件非物质化和电子信托服务

网络安全知识体系1.1法律法规（四十二）国际公法

网络安全知识体系1.1法律法规（四十三）其他监管事项

网络安全知识体系1.1法律法规（四十四）结论：法律风险管理

网络安全知识体系1.1法律法规（四十一）  伦理学

网络安全知识体系1.1风险管理和治理（八）安全度量

网络安全知识体系1.1风险管理和治理（九）业务连续性

网络安全知识体系1.1风险管理和治理（六）脆弱性管理

网络安全知识体系1.1风险管理和治理（七）风险评估和管理

网络安全知识体系1.1风险管理和治理（十）结论

网络安全知识体系1.1风险管理和治理（五）风险评估与管理方法（下）

网络安全知识体系1.1人为因素（二）：可用的安全性——基础

网络安全知识体系1.1人为因素（一）：了解安全中的人类行为

网络安全知识体系1.1隐私和在线权利（八）：隐私作为透明度及基于反馈的透明度

网络安全知识体系1.1隐私和在线权利（九）：隐私作为透明度及基于审计的透明度

网络安全知识体系1.1隐私和在线权利（六）：隐私作为控制之支持隐私设置配置

网络安全知识体系1.1隐私和在线权利（七）：隐私作为控制之支持隐私政策谈判和可解释性

收录于合集 #分布式系统

 8

上一篇分布式系统安全之混合及分层P2P协议

原文始发于微信公众号（河南等级保护测评）：IBM Aspera Faspex 漏洞在野外被利用