11月25日美國網路安全暨基礎設施安全局(CISA)發布公告,他們將重大層級的漏洞CVE-2023-28461列入已遭利用漏洞(KEV)清單,要求聯邦機構必須在12月16日完成修補。
這項漏洞存在於安瑞科技(Array Networks)Array AG系列SSL VPN設備,以及虛擬化版本vxAG,原因是重要功能缺乏身分驗證機制造成,攻擊者有機會利用漏洞讀取SSL VPN閘道的本機檔案,或是執行任意程式碼,CVSS風險達到9.8,影響9.4.0.481以前版本的作業系統。
一旦攻擊者利用這項漏洞,就有機會遠端執行任意程式碼,他們可在未經身分驗證的情況下,藉由HTTP標頭特定標籤屬性,瀏覽閘道的檔案系統。安瑞於去年3月9日公布這項漏洞,並於同月17日提供修補程式。
雖然CISA並未透露攻擊者如何利用這項漏洞,不過這項資安公告發布的前幾天,趨勢科技公布中國駭客組織Earth Kasha的最新一波攻擊行動裡,其中一項用來取得初始入侵管道的SSL VPN漏洞,就是CVE-2023-28461。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-25
2024-11-15
Advertisement