近日，CISA 在其 “已知漏洞”（KEV）目錄中增加了三個漏洞，其中一個是 SolarWinds Web Help Desk (WHD) 中的關(guān)鍵硬編碼憑據(jù)漏洞，供應(yīng)商已于 2024 年 8 月底修復(fù)了該漏洞。

SolarWinds Web Help Desk 是一款 IT 服務(wù)臺套件，全球有 30 萬客戶在使用，其中包括政府機構(gòu)、大型企業(yè)和醫(yī)療機構(gòu)。

SolarWinds 漏洞被追蹤為 CVE-2024-28987，是由硬編碼憑據(jù)（用戶名為 “helpdeskIntegrationUser”，密碼為 “dev-C4F8025E7”）引起的。這些憑證一旦被未經(jīng)驗證的遠端攻擊者利用可能會存取 WHD 端點，并不受限制地存取或修改資料。

Horizon3.ai 研究員 Zach Hanley 最早發(fā)現(xiàn)了該漏洞并隨即報告給了 SolarWinds ，四天后該套件發(fā)布了熱修復(fù)程序，并敦促系統(tǒng)管理員遷移到 WHD 12.8.3 Hotfix 2 或更高版本。

CISA 現(xiàn)已將該漏洞添加到 KEV 中，表明該漏洞正被用于野外攻擊。

美國政府機構(gòu)沒有透露有關(guān)惡意活動的詳細信息，并將勒索軟件的利用狀態(tài)設(shè)置為未知。預(yù)計美國聯(lián)邦機構(gòu)和政府組織將在 2024 年 11 月 5 日前更新到安全版本或停止使用該產(chǎn)品。

鑒于 CVE-2024-28987 正在被利用，建議系統(tǒng)管理員采取適當(dāng)措施，在設(shè)定的最后期限之前確保 WDH 端點的安全。

另外兩個漏洞與 Windows 和 Mozilla Firefox 有關(guān)，已知這兩個漏洞都已在攻擊中被利用。CISA 還要求聯(lián)邦機構(gòu)在 11 月 5 日前修補這些漏洞。

Windows 漏洞是一個內(nèi)核 TOCTOU 競賽條件，被追蹤為 CVE-2024-30088，趨勢科技發(fā)現(xiàn)該漏洞被主動利用。該網(wǎng)絡(luò)安全公司將這一惡意活動歸咎于 OilRig (APT34)，他們利用該漏洞將被入侵設(shè)備的權(quán)限提升到 SYSTEM 級別。

微軟在最新發(fā)布的補丁包中解決了該漏洞，但目前還不清楚何時開始主動利用該漏洞。

Mozilla Firefox CVE-2024-9680 漏洞最早是被 ESET 研究員 Damien Schaeffer 于 2024 年 10 月 8 日發(fā)現(xiàn)，25 小時后該漏洞得以修復(fù)。

Mozilla 表示，ESET 提供的攻擊鏈可以通過 Firefox 中 CSS 動畫時間軸的渲染在用戶設(shè)備上遠程執(zhí)行代碼。

目前， ESET 仍在分析他們觀察到的攻擊活動，其中一位發(fā)言人稱惡意活動似乎來自俄羅斯，很可能用于間諜活動。