CISA正在提醒美国联邦机构黑客利用最近修补的ScreenConnect漏洞,可能导致在服务器上执行远程代码。
该机构警告说,影响华硕路由器和Craft内容管理系统(CMS)的其他四个安全问题也被积极利用。
ConnectWise ScreenConnect 中的身份验证不当
4 月 24 日,ConnectWise 解决了 CVE-2025-3935 跟踪的安全问题,指出该漏洞可能被用于 ViewState 代码注入攻击。
供应商指出,ASP.NET Web Forms 依赖于 ViewState 组件来使用受机器密钥保护的 base64 编码数据来保存页面和控制状态。
如果具有特权访问权限的攻击者破坏了机器密钥,则可以通过恶意有效载荷触发服务器上的远程代码执行。
继最近的ConnectWise漏洞之后,一些客户表示该事件可能与CVE-2025-3935有关。
然而,ConnectWise没有对攻击方法或妥协的性质发表评论。多份报告指出,ConnectWise发现“极少数ScreenConnect客户”受到影响。
华硕和Craft CMS中的关键错误
在本周的警报中,CISA还警告威胁行为者利用华硕路由器和Craft CMS中的四个漏洞,其中两个至关重要:
- ①CVE-2021-32030(9.8 严重严重评分):允许在华硕GT-AC2900和Lyra Mini设备中绕过身份验证
- ②CVE-2023-39780 (8.8 高分数 ) : 在华硕 RT-AX55 中注入操作系统,需要身份验证
- ③CVE-2024-56145(9.3 严重严重评分):在 Craft CMS 中输入代码,在特定条件下可能导致远程代码执行
- ④CVE-2025-35399(6.9中等严重程度评分):未经身份验证的客户端可以向Craft CMS服务器上的已知文件位置引入PHP代码
影响华硕RT-AX55设备的漏洞在过去几个月中被用于隐身攻击,这些攻击似乎是“资源充足且能力很强的对手”。
在上周的一份报告中,网络安全平台GreyNoise表示,黑客已经将CVE-2023-39780漏洞与身份验证旁路技术联系起来,这些技术没有分配CVE来形成名为AyySSHush的僵尸网络。
CISA将五个安全问题添加到其已知受剥削脆弱性(KEV)目录中,并预计联邦机构将在6月23日之前实施供应商建议的缓解措施或停止使用受影响的产品。
发表评论
您还未登录,请先登录。
登录