美國網路安全與基礎設施安全局 (CISA) 於週一宣布,根據實際環境中已被利用的證據,將影響 Acclaim Systems USAHERDS 的一項高危安全漏洞(目前已修補)列入已知被利用漏洞 (KEV) 目錄中,所涉及的漏洞是 CVE-2021-44207(CVSS 評分:8.1),這是 Acclaim USAHERDS 中硬編碼的靜態憑證的一個案例,可能允許攻擊者最終在易受影響的伺服器上執行任意程式碼。
具體來說,它涉及版本 7.4.0.1 及更早版本中靜態 ValidationKey 和 DecryptionKey 值的使用,這些值可以武器化以在運行應用程式的伺服器上實現遠端程式碼執行,也就是說,攻擊者首先必須利用其他方法來取得金鑰。
谷歌旗下的 Mandiant 在 2021 年 12 月針對該缺陷的諮詢中表示:「這些金鑰用於為應用程式 ViewState 提供安全性。」「了解這些金鑰的威脅行為者可以欺騙應用程式伺服器反序列化惡意製作的ViewState 數據。
如果網路攻擊者掌握了 Web 應用程式的 validationKey 和 decryptionKey,他們可以構造一個能通過 MAC 檢查的惡意 ViewState,並讓伺服器進行反序列化,這種反序列化可能導致在伺服器上執行任意程式碼。
雖然目前尚無 CVE-2021-44207 在現實攻擊中被武器化的新報告,但該漏洞早在 2021 年就已被與中國有關的 APT41 威脅行為者利用,作為零日漏洞在針對美國六個州政府網路的攻擊中被濫用,聯邦民事行政機構 (FCEB) 建議在 2025 年 1 月 13 日之前,應用供應商提供的緩解措施,以保護其網路免受主動威脅的影響。
此外,Adobe 警告稱,ColdFusion 存在一個高危安全漏洞(CVE-2024-53961,CVSS 評分:7.8),該漏洞已有已知的概念驗證 (PoC) 利用,可能導致任意檔案系統讀取。目前,該漏洞已在 ColdFusion 2021 更新 18 和 ColdFusion 2023 更新 12 中得到修復。
此漏洞一旦被惡意利用,後果不堪設想,可能導致敏感資料外洩、系統癱瘓等嚴重問題,因此,所有使用 Acclaim USAHERDS 的單位都應立即採取行動 。首先,確認系統版本是否受影響;其次,儘速套用官方提供的修補程式;第三,加強系統監控。唯有立即採取行動,並持續關注資安議題,才能有效保護我們的系統和資料安全。
參考資料:
https://thehackernews.com/2024/12/cisa-adds-acclaim-usaherds.html