11月25日美國網路安全暨基礎設施安全局(CISA)發布公告,他們將去年一項重大層級的已知漏洞CVE-2023-28461新列入已遭利用漏洞(KEV)清單,要求聯邦機構必須在12月16日完成修補。
這項漏洞存在於安瑞科技(Array Networks)Array AG系列SSL VPN設備,以及虛擬化版本vxAG,原因是重要功能缺乏身分驗證機制造成,攻擊者有機會利用漏洞讀取SSL VPN閘道的本機檔案,或是執行任意程式碼,CVSS風險達到9.8,影響9.4.0.481以前版本的作業系統。
一旦攻擊者利用這項漏洞,就有機會遠端執行任意程式碼,他們可在未經身分驗證的情況下,藉由HTTP標頭特定標籤屬性,瀏覽閘道的檔案系統。安瑞於去年3月9日公布這項漏洞,並於同月17日提供修補程式。
雖然CISA並未透露攻擊者如何利用這項漏洞,不過這項資安公告發布的前幾天,趨勢科技公布中國駭客組織Earth Kasha的最新一波攻擊行動裡,其中一項用來取得初始入侵管道的SSL VPN漏洞,就是CVE-2023-28461。
針對這項漏洞,我們也進一步向安瑞確認,該公司表示當時在他們接獲通報後,立即展開深入調查,並啟動應急程序,快速修復漏洞,他們在3月發布的新版作業系統9.4.0.484版已解決問題,並通知客戶更新。他們的技術團隊也提供支援,協助客戶完成升級。
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-11-29
2024-12-10