聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该公司分析了CISA 在2022年新增到必修列表中的漏洞发现,CISA在去年新增了超过550个漏洞,其中42个漏洞很可能在2022年已遭在野利用且已获得CVE编号,但截止到2023年3月3日仍未被包含在列表中。
CISA的“已遭利用漏洞”分类表通常被称为“必修”列表,因为政府组织机构必须在指定的时间范围内修复某些漏洞,而私有企业也被强烈鼓励这么做。
在VulnCheck认为已遭利用但并未增加至必修列表的漏洞中,64%的漏洞与僵尸网络有关,其次是威胁行动者 (12%) 和勒索软件 (10%),余下的未进行归属。
其中一个缺失的漏洞是CVE-2017-20149,影响 Mikrotik 路由器。该漏洞的相关信息出现在2017年,当时维基解密发布Vault7 文档。该漏洞在2022年才获得CVE编号但可追溯至2017年。
另外一个缺失的漏洞是CVE-2022-28810,它是位于ManageEngine ADSelfService Plus 中的一个漏洞。在VulnCheck 的报告发布前,CISA确实将该漏洞和CVE-2022-35914以及CVE-2022-33891一起增加至列表。CVE-2022-35914是一个GLPI漏洞,也属于未修复的42个漏洞。CVE-2022-33891是一个Apache Spark漏洞,微软在2022年12月发现该漏洞的利用。
去年,CISA澄清了漏洞收录标准,主要包括三个条件:漏洞必须具有CVE编号、必须具有在野利用的可靠证据以及必须具有补丁、缓解措施或应变措施。
目前尚不清楚这几十个已遭利用漏洞为何尚未被收录。CISA尚未就此回应。
分析还发现,四分之三的未收录漏洞可用于进行初始化利用,另外,其中31个漏洞具有公开exploit。例如,思科认为CVE-2022-2003已遭涉及Truebot恶意软件的利用。
报告提到,“CISA 的必修列表无疑是具有帮助的,也是行业的推动力。但是,只要其中缺失已遭活跃利用的漏洞,就无法成为已遭利用漏洞的权威分类。实践者们还应当查找附加来源或找到数据更全面的来源,增强漏洞管理计划。”
VulnCheck将在下周发布这42个未收录的漏洞。
https://www.securityweek.com/dozens-of-exploited-vulnerabilities-missing-from-cisa-must-patch-list/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):CISA必修列表未收录数十个已遭利用漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论