CISA漏洞修复目录新增7个主动利用漏洞
第20期网络安全就业班:2023年08月28日 开班地点:北京
CISP/CISSP/CISP-PTE/CISA/CISW...网络安全证书认证
这个问题是 CVE-2022-22536,它在 CVSS 漏洞评分系统中得到了10.0的最高风险评分,SAP 在2022年2月的补丁周二更新中解决了这个问题。
被描述为 HTTP 请求走私漏洞,该缺陷影响以下产品版本-
SAP Web Dispatcher (Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
SAP Content Server (Version – 7.53)
SAP NetWeaver and ABAP Platform (Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)
CISA 在一份警告中说: “未经身份验证的攻击者可以使用任意数据预先处理受害者的请求,允许模拟受害者的函数执行或中毒中间网络缓存。”
发现漏洞的 Onapsis 指出: “一个简单的 HTTP 请求,与任何其他有效消息都无法区分,而且没有任何形式的身份验证,就足以成功地利用它。因此,这使得攻击者很容易利用它,并且使得防火墙或 IDS/IPS 等安全技术更难以检测到它(因为它不会带来恶意负载)。”
除了 SAP 的弱点,该机构还增加了苹果(CVE-2022-32893,和 CVE-2022-32894)和谷歌(CVE-2022-2856)本周披露的新缺陷,以及之前记录的与微软相关的错误(CVE-2022-21971和 CVE-2022-26923)和帕洛阿尔托网络 PAN-OS (CVE-2017-15944,CVSS 得分: 9.8)的远程代码执行漏洞,这些都是在2017年披露的。
CVE-2022-21971(CVSS 得分: 7.8)是 Windows 运行时中的一个远程代码执行漏洞,微软于2022年2月解决了这个问题。CVE-2022-26923(CVSS 得分: 8.8) ,修正于2022年5月,涉及到活动目录域服务的一个权限提升缺陷。
微软在其 CVE-2022-26923咨询报告中描述道: “经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性,并获得 Active Directory 证书服务的证书,从而允许将特权升级到 System。”
按照惯例,CISA的通知对与漏洞有关的野外攻击的技术细节不够详细,以避免威胁行为者进一步利用这些漏洞。
为了减轻潜在威胁的影响,联邦民事行政部门(FCEB)机构被授权在2022年9月8日之前应用相关补丁。
越南要求大公司将数据存储和办公室本地化
越南信息和通信部本周更新了网络安全法,其要求大科技公司和电信公司在当地存储用户数据并由当地实体控制这些数据。受影响的数据超出了姓名、电子邮件、信用卡信息、电话号码和IP地址等基本内容并延伸到社会元素–包括用户所加入的团体,或跟他们进行数字互动的朋友。
“所有互联网用户的数据,从财务记录和生物识别数据到人们的种族和政治观点的信息,或用户在上网时创建的任何数据,都必须在国内存储,”周三发布的法令写道。
据了解,该法令适用于广泛的业务,包括提供电信服务、在网络空间存储和共享数据、为越南用户提供国家或国际域名、电子商务、在线支付、支付中介、在网络空间运营的运输连接服务、社交媒体、在线视频游戏、消息服务以及语音或视频通话。根据政府第53号法令第26条,新规则将于2022年10月1日生效–从公布之日起约7周。
不过外国公司有12个月的时间来遵守–从他们收到公共安全部长的指示开始。然后这些公司被要求在越南存储数据至少24个月。系统日志将需要存储12个月。
在这个宽限期之后,当局保留权利,通过调查和数据收集要求以及内容删除令以确保受影响的公司遵守法律。
越南是科技制造业的一个重要中心。富士康、三星、微软、英特尔和LG在这个东南亚国家都有业务。据报道,苹果供应商Luxshare Precision Industry和富士康正在谈判从而以首次将Apple Watch和MacBooks的生产从中国转移到越南。
越南总理表示,希望大科技公司能有更大的发展。
虽然越南是Google和美达的重要用户和收入来源,但两者都没有在该国设立官方办事处。跟该国市场有关的职位通常设在新加坡。据报道,这在历史上是由于越南对在线内容的严格审查。
根据该法令,当地办事处可以是外国企业的分支机构或代表机构。
