近日，美國網(wǎng)絡安全與基礎設施安全局(CISA)下令聯(lián)邦民事機構(gòu)在未來三周內(nèi)對谷歌Chrome零日漏洞和Redis的一個重要漏洞進行修補。

根據(jù)谷歌在上周發(fā)布的一份報告顯示，追蹤代碼為CVE-2022-1096的Chrome零日安全漏洞是Chrome V8 JavaScrip引擎中出現(xiàn)的一個高度嚴重類型混淆漏洞，該漏洞允許攻擊者在目標設備上執(zhí)行任意代碼。

繼3月10日公開發(fā)布了一個概念驗證(PoC)漏洞后，Muhstik惡意軟件團伙為Redis Lua沙盒逃脫漏洞添加了一個專門的散布器漏洞(追蹤代碼為CVE-2022-1096)。

根據(jù)去年11月發(fā)布的一項約束性作業(yè)指令(BOD 22-01)，聯(lián)邦民事行政機構(gòu)(FCEB)機構(gòu)有保護他們的系統(tǒng)免受這些漏洞的攻擊的義務，因此CISA要求他們在4月18日之前修補漏洞。“這些類型的漏洞是各種惡意攻擊者頻繁利用的載體，它們會對聯(lián)邦企業(yè)構(gòu)成重大風險”，對此美國網(wǎng)絡安全機構(gòu)如此解釋道。

雖然BOD 22-01指令只適用于民事行政機構(gòu)機構(gòu)，但CISA也敦促私營和公共部門組織盡可能修補這些缺陷，以減少遭受持續(xù)網(wǎng)絡攻擊的風險。

上周五，CISA在其被積極利用的漏洞目錄中又增加了66個漏洞，其中包括一個Windows Print Spooler漏洞(追蹤代碼為CVE-2022-21999)，該漏洞允許代碼作為系統(tǒng)執(zhí)行。隨后，CISA命令聯(lián)邦機構(gòu)盡快修補這些漏洞，以消除安全隱患。

2022年以來，CISA已共計在其目錄中增加了數(shù)百個漏洞，它們都有充分被積極利用的證據(jù)。

值得一提的是，本次CISA還增加了一個Mitel TP-240 VoIP接口漏洞(追蹤代碼為CVE-2022-26143)，它的DDoS攻擊放大倍數(shù)創(chuàng)造了新的記錄，達到了43億比1。

事實上，自2022年初以來，美國網(wǎng)絡安全機構(gòu)CISA就不斷敦促聯(lián)邦民事機構(gòu)對以下領域的漏洞進行積極修補：：

• Mozilla的Firefox瀏覽器
• Zabbix服務器
• 谷歌Chrome和Adobe Commerce/Magento開放源代碼
• IPhone、Ipad和Mac
• Windows系統(tǒng)