近日，CISA 在其 “已知漏洞”（KEV）目錄中增加了三個(gè)漏洞，其中一個(gè)是 SolarWinds Web Help Desk (WHD) 中的關(guān)鍵硬編碼憑據(jù)漏洞，供應(yīng)商已于 2024 年 8 月底修復(fù)了該漏洞。

SolarWinds Web Help Desk 是一款 IT 服務(wù)臺(tái)套件，全球有 30 萬客戶在使用，其中包括政府機(jī)構(gòu)、大型企業(yè)和醫(yī)療機(jī)構(gòu)。

SolarWinds 漏洞被追蹤為 CVE-2024-28987，是由硬編碼憑據(jù)（用戶名為 “helpdeskIntegrationUser”，密碼為 “dev-C4F8025E7”）引起的。這些憑證一旦被未經(jīng)驗(yàn)證的遠(yuǎn)端攻擊者利用可能會(huì)存取 WHD 端點(diǎn)，并不受限制地存取或修改資料。

Horizon3.ai 研究員 Zach Hanley 最早發(fā)現(xiàn)了該漏洞并隨即報(bào)告給了 SolarWinds ，四天后該套件發(fā)布了熱修復(fù)程序，并敦促系統(tǒng)管理員遷移到 WHD 12.8.3 Hotfix 2 或更高版本。

CISA 現(xiàn)已將該漏洞添加到 KEV 中，表明該漏洞正被用于野外攻擊。

美國政府機(jī)構(gòu)沒有透露有關(guān)惡意活動(dòng)的詳細(xì)信息，并將勒索軟件的利用狀態(tài)設(shè)置為未知。預(yù)計(jì)美國聯(lián)邦機(jī)構(gòu)和政府組織將在 2024 年 11 月 5 日前更新到安全版本或停止使用該產(chǎn)品。

鑒于 CVE-2024-28987 正在被利用，建議系統(tǒng)管理員采取適當(dāng)措施，在設(shè)定的最后期限之前確保 WDH 端點(diǎn)的安全。

另外兩個(gè)漏洞與 Windows 和 Mozilla Firefox 有關(guān)，已知這兩個(gè)漏洞都已在攻擊中被利用。CISA 還要求聯(lián)邦機(jī)構(gòu)在 11 月 5 日前修補(bǔ)這些漏洞。

Windows 漏洞是一個(gè)內(nèi)核 TOCTOU 競(jìng)賽條件，被追蹤為 CVE-2024-30088，趨勢(shì)科技發(fā)現(xiàn)該漏洞被主動(dòng)利用。該網(wǎng)絡(luò)安全公司將這一惡意活動(dòng)歸咎于 OilRig (APT34)，他們利用該漏洞將被入侵設(shè)備的權(quán)限提升到 SYSTEM 級(jí)別。

微軟在最新發(fā)布的補(bǔ)丁包中解決了該漏洞，但目前還不清楚何時(shí)開始主動(dòng)利用該漏洞。

Mozilla Firefox CVE-2024-9680 漏洞最早是被 ESET 研究員 Damien Schaeffer 于 2024 年 10 月 8 日發(fā)現(xiàn)，25 小時(shí)后該漏洞得以修復(fù)。

Mozilla 表示，ESET 提供的攻擊鏈可以通過 Firefox 中 CSS 動(dòng)畫時(shí)間軸的渲染在用戶設(shè)備上遠(yuǎn)程執(zhí)行代碼。

目前， ESET 仍在分析他們觀察到的攻擊活動(dòng)，其中一位發(fā)言人稱惡意活動(dòng)似乎來自俄羅斯，很可能用于間諜活動(dòng)。