CISA 将 Zoho、Apache、Qualcomm、Mikrotik 缺陷添加到积极利用的问题列表中
美国网络安全和基础设施安全局 (CISA) 更新了其积极利用的漏洞目录, 建议联邦机构在特定时间范围和截止日期内解决 Qualcomm、Mikrotik、Zoho 和 Apache 软件基金会软件中的缺陷。
CISA 还警告联邦企业延迟解决这些漏洞的风险。
美国机构要求联邦机构在 2021 年 12 月 15 日前为 Zoho ManageEngine ServiceDesk 缺陷应用安全补丁。添加到目录中的两个缺陷是CVE-2021-37415 Zoho ManageEngine ServiceDesk 身份验证绕过漏洞和CVE-2021-44077 Zoho ManageEngine ServiceDesk Plus 远程代码执行。
在过去的几个月里,这两个问题都被民族国家行为者积极利用。
CISA 还敦促 在 2022 年 6 月 1日内解决CVE-2018-14847 MikroTik 路由器操作系统目录遍历漏洞。
添加到目录中的另一个缺陷是CVE-2021-40438 Apache HTTP 服务器端请求伪造 (SSRF) 漏洞,必须在 2021 年 12 月 15 日之前解决。几天前,德国网络安全局和思科警告说,攻击会利用最近修补了 Apache HTTP 服务器中的 CVE-2021-40438 缺陷。
德国 BSI 机构发布了有关此漏洞的警报,它知道至少有一次利用此漏洞的攻击。
被积极利用的漏洞列表中添加的第五个问题 是影响多个高通芯片组的CVE-2020-11261不正确的输入验证缺陷。必须在 2022 年 6 月 1 日之前解决此漏洞。
谷歌警告 称,威胁行为者利用高通漏洞进行有限的、有针对性的攻击。
“有迹象表明 CVE-2020-11261 可能受到有限的、有针对性的利用”, 上周在 1 月份的安全公告中写道。
CVE-2020-11261 漏洞由 Google 的 Android 安全团队于 2020 年 8 月 20 日向高通报告,并于 2021 年 1 月得到解决。
