CISA敦促各机构修补Chrome、Redis漏洞。根据谷歌上周发布的一份报告,被追踪为CVE-2022-1096的Chrome零日安全漏洞是ChromeV8JavaScript引擎中的一个高度严重的类型混淆漏洞,允许攻击者执行任意代码。在3月10日公开发布概念验证(PoC)漏洞之后,Muhstik恶意软件团伙为RedisLua沙箱逃逸漏洞添加了一个专用的传播者漏洞(跟踪为CVE-2022-1096)。根据去年11月发布的具有约束力的操作命令(BOD22-01),联邦民事执行机构(FCEB)机构有义务保护其系统免受这些漏洞的影响,因此CISA要求他们在4月18日报告之前修补的漏洞。“这些类型的漏洞是各种恶意行为者的常见载体,它们对联邦企业构成重大风险,”美国网络安全机构解释说。虽然BOD22-01仅适用于民事行政机构,但CISA还敦促私营和公共部门组织尽可能修补这些缺陷,以降低持续网络攻击的风险。上周五,CISA在其被积极利用的漏洞目录中又增加了66个漏洞,其中包括允许代码作为系统执行的WindowsPrintSpooler漏洞(跟踪为CVE-2022-21999)。CISA随后命令联邦机构尽快修补漏洞以消除安全风险。自2022年以来,CISA总共在其目录中添加了数百个漏洞,并且它们都有充分的证据表明它们正在被积极利用。值得一提的是,本次CISA还新增了MitelTP-240VoIP接口漏洞(跟踪代码为CVE-2022-26143),其DDoS攻击放大倍数刷新纪录,达到43亿比1。事实上,自2022年初,美国网络安全机构CISA一直敦促联邦民间机构积极修补漏洞:Mozilla的Firefox浏览器、Zabbix服务器、GoogleChrome和AdobeCommerce/Magento开源的iPhone、Ipad和MacWindows系统
