美國網絡安全和基礎設施安全局 (CISA) 本周在其利用漏洞目錄中增加了95個新的安全漏洞，使其可利用的漏洞總數達到 478 個。該機構在2022年3月3日發(fā)布的一份咨詢報告中表示：“這些類型的漏洞是惡意網絡行為者的常見攻擊媒介，會對聯(lián)邦企業(yè)構成重大風險。”

新增的95個漏洞中，思科漏洞占38個，微軟27個，Adobe 16個，Oracle影響7個，Apache Tomcat、ChakraCore、Exim、Mozilla Firefox、Linux Kernel、西門子SIMATIC CP、Treck TCP /IP 堆棧。

列表中包括在Cisco RV路由器中發(fā)現(xiàn)的五個問題，CISA指出這些問題正被用于實際攻擊。這些漏洞于上月初曝光，允許以root權限執(zhí)行任意代碼。其中三個漏洞——CVE-2022-20699、CVE-2022-20700 和 CVE-2022-20708——在 CVSS 評級量表中被評為10分(滿分10分)，使攻擊者能夠注入惡意命令、提升root權限并運行易受攻擊的系統(tǒng)上的任意代碼。

CISA表示，CVE-2022-20701(CVSS分數：9.0)和CVE-2022-20703(CVSS 分數：9.3)沒有什么不同，因為它們可以允許攻擊者“執(zhí)行任意代碼提升權限、執(zhí)行任意命令、繞過身份驗證和授權保護，獲取并運行未簽名的軟件，或導致拒絕服務。就思科本身來說，他們是知道這個漏洞的存在的，只是不清楚其他威脅行為者是否會將這些漏洞武器化。為了降低漏洞的重大風險并防止它們被用作潛在網絡攻擊的載體，美國的聯(lián)邦機構被要求在 2022 年 3 月 17 日之前應用這些補丁。

思科還在上周發(fā)布了針對影響Expressway系列和思科網真視頻通信服務器 (VCS)的關鍵安全漏洞的補丁程序，該漏洞可能被惡意方利用以獲得提升的權限并執(zhí)行任意代碼。

參考來源：https://thehackernews.com/2022/03/cisa-adds-another-95-flaws-to-its.html