美國CISA 就 Zabbix監控平台中兩個被積極利用的漏洞發出警報,並將它們加入到「已知被開採漏洞」清單

#CVE-2022-23131 

#CVE-2022-23134

美國網路安全暨基礎架構管理署 (CISA) 在其已知被開採漏洞清單(Known Exploited Vulnerabilities Catalog)添加了兩個影響 Zabbix 監控工具基礎設施的新漏洞,最重要的是,根據具有約束性作業指引:降低已知被開採漏洞的重大風險中(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities),CISA 命令聯邦民事執行機構 (Federal Civilian Executive Branch)在 2022 年 3 月 8 日之前對所有系統進行漏洞修補,以減少其遭受潛在網路攻擊的風險。

漏洞編號CVE-2022-23131(CVSS 評分:9.8)和 CVE-2022-23134(CVSS 評分:5.3)這些漏洞可能導致整個網路受到威脅,使未經身份驗證的惡意攻擊者能夠提升權限並獲得Zabbix 前端管理員存取權限以及進行配置更改。這兩個漏洞由資安業者SonarSource 的研究員 Thomas Chauchefoin發現,這兩個漏洞均影響 Zabbix Web 前端版本,包括 5.4.8、5.0.18 和 4.0.36,此後,隨著版本 5.4.9、5.0.9 和 4.0.37 的發布,這些問題已得到解決。

這兩個漏洞都是“不安全會話存儲”的結果,允許攻擊者繞過身份驗證並執行任意程式碼。然而,值得指出的是,這些漏洞僅影響啟用安全宣告標記語言(SAML) 中單一登入(SSO) 的身份驗證實例,但專家認為企業或組織有必要審查「已知被開採漏洞」清單並解決其基礎設施中的漏洞。

以下是THOMAS CHAUCHEFOIN發現這兩個漏洞的timeline

CISA制定了新的網路安全事件和漏洞回應手冊,旨在改進和標準化聯邦及民營機構在面臨威脅時的安全流程

Key Points:

*CISA 發布事件和漏洞回應手冊,以加強聯邦及民營機構的網路安全

*這是拜登總統改善國家網路安全頒布的行政命令的一部分

*CISA建議各機構應使用手冊來塑造整體防禦性網路行動

11月16日(週二)美國網路安全暨基礎設施安全局(CISA)發布了新的指導手冊,其中包括針對面臨全資威脅時聯邦及民營機構的標準化回應程序。新的指導方針是CISA根據拜登總統在5月份頒布的網路安全行政命令而制定的,據了解,指導手冊中的範例為聯邦及民營機構提供了一套標準程序,以應對影響它們網路的漏洞和資安事件,手冊涵蓋了機構應如何管理與事件和漏洞相關的網路安全流程——包括準備(preparation)、調查(investigation)、遏制(containment)、報告(reporting)和補救(remediation)。CISA 在宣布手冊時表示,聯邦及民營機構應該使用這些手冊來塑造他們的整體防禦網路行動。

手冊以CISA 約束性操作指令 22-01( Binding Operational Directive 22-01 ) 為基礎,標準化了在應對這些對聯邦政府、私營和公共部門構成重大風險的漏洞時應遵循的流程,CISA強烈建議公營和私營機構的合作夥伴檢閱手冊,以評估他們的漏洞和事件回應實踐。手冊內容包括事件回應手冊(Incident Response Playbook)適用於涉及已確認的惡意網路活動且已宣布或尚未合理排除的重大事件,漏洞回應手冊(Vulnerability Response Playbook ) 適用於任何被對手觀察到用於獲取未經授權進入電腦資源的漏洞。

CISA 敦促各機構應使用這些手冊來幫助塑造整體的防禦性網路行動,以提高整體彈性和確保一致性和有效的回應。