CISA漏洞修復目錄新增7個主動利用漏洞

CISA漏洞修復目錄新增7個主動利用漏洞




美國網絡安全和基礎設施安全局(CISA)周四根據主動開發的證據，將一個關鍵的 SAP 安全漏洞添加到其已知的已開發漏洞目錄中。

這個問題是 CVE-2022-22536，它在 CVSS 漏洞評分系統中得到了10.0的最高風險評分，SAP 在2022年2月的補丁周二更新中解決了這個問題。

被描述為 HTTP 請求走私漏洞，該缺陷影響以下產品版本-

SAP Web Dispatcher (Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)

SAP Content Server (Version – 7.53)

SAP NetWeaver and ABAP Platform (Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)

CISA 在一份警告中說: “未經身份驗證的攻擊者可以使用任意數據預先處理受害者的請求，允許模擬受害者的函數執行或中毒中間網絡緩存?！?br />
發現漏洞的 Onapsis 指出: “一個簡單的 HTTP 請求，與任何其他有效消息都無法區分，而且沒有任何形式的身份驗證，就足以成功地利用它。因此，這使得攻擊者很容易利用它，并且使得防火墻或 IDS/IPS 等安全技術更難以檢測到它(因為它不會帶來惡意負載)?！?br />
除了 SAP 的弱點，該機構還增加了蘋果(CVE-2022-32893，和 CVE-2022-32894)和谷歌(CVE-2022-2856)本周披露的新缺陷，以及之前記錄的與微軟相關的錯誤(CVE-2022-21971和 CVE-2022-26923)和帕洛阿爾托網絡 PAN-OS (CVE-2017-15944，CVSS 得分: 9.8)的遠程代碼執行漏洞，這些都是在2017年披露的。

CVE-2022-21971(CVSS 得分: 7.8)是 Windows 運行時中的一個遠程代碼執行漏洞，微軟于2022年2月解決了這個問題。CVE-2022-26923(CVSS 得分: 8.8) ，修正于2022年5月，涉及到活動目錄域服務的一個權限提升缺陷。

微軟在其 CVE-2022-26923咨詢報告中描述道: “經過身份驗證的用戶可以操縱他們擁有或管理的計算機帳戶的屬性，并獲得 Active Directory 證書服務的證書，從而允許將特權升級到 System?！?br />
按照慣例，CISA的通知對與漏洞有關的野外攻擊的技術細節不夠詳細，以避免威脅行為者進一步利用這些漏洞。

為了減輕潛在威脅的影響，聯邦民事行政部門(FCEB)機構被授權在2022年9月8日之前應用相關補丁。

越南要求大公司將數據存儲和辦公室本地化

越南信息和通信部本周更新了網絡安全法，其要求大科技公司和電信公司在當地存儲用戶數據并由當地實體控制這些數據。受影響的數據超出了姓名、電子郵件、信用卡信息、電話號碼和IP地址等基本內容并延伸到社會元素–包括用戶所加入的團體，或跟他們進行數字互動的朋友。

“所有互聯網用戶的數據，從財務記錄和生物識別數據到人們的種族和政治觀點的信息，或用戶在上網時創建的任何數據，都必須在國內存儲，”周三發布的法令寫道。

據了解，該法令適用于廣泛的業務，包括提供電信服務、在網絡空間存儲和共享數據、為越南用戶提供國家或國際域名、電子商務、在線支付、支付中介、在網絡空間運營的運輸連接服務、社交媒體、在線視頻游戲、消息服務以及語音或視頻通話。根據政府第53號法令第26條，新規則將于2022年10月1日生效–從公布之日起約7周。

不過外國公司有12個月的時間來遵守–從他們收到公共安全部長的指示開始。然后這些公司被要求在越南存儲數據至少24個月。系統日志將需要存儲12個月。

在這個寬限期之后，當局保留權利，通過調查和數據收集要求以及內容刪除令以確保受影響的公司遵守法律。

越南是科技制造業的一個重要中心。富士康、三星、微軟、英特爾和LG在這個東南亞國家都有業務。據報道，蘋果供應商Luxshare Precision Industry和富士康正在談判從而以首次將Apple Watch和MacBooks的生產從中國轉移到越南。

越南總理表示，希望大科技公司能有更大的發展。

雖然越南是Google和美達的重要用戶和收入來源，但兩者都沒有在該國設立官方辦事處。跟該國市場有關的職位通常設在新加坡。據報道，這在歷史上是由于越南對在線內容的嚴格審查。

根據該法令，當地辦事處可以是外國企業的分支機構或代表機構。