CISA更新安全漏洞清单，涉及Sophos、Oracle和Microsoft产品

关键要点

CISA新增了Sophos、Oracle和Microsoft的多个产品至已知被利用的漏洞KEV目录。建议安全团队按照供应商的指示采取缓解措施，若无缓解措施则停止使用相关产品。多个漏洞被与中国高级持续威胁APT组织的网络攻击相关联。

网络安全与基础设施安全局CISA于11月17日更新了其已知被利用的漏洞KEV目录，将Sophos、Oracle和Microsoft的产品纳入其中。CISA建议安全团队根据供应商的指示采取相应措施，但若没有缓解措施，则应停止使用相关产品。

根据SecurityWeek的报道，攻击者利用Sophos产品漏洞的事件并不鲜见。一些攻击与中国的APT组织有关，并针对南亚的政府及其他组织进行。此外，Oracle的漏洞被纳入KEV目录的原因是在一篇6月初的博文中提到，这个漏洞被中国的威胁行动者用作攻击目标，攻击对象为台湾的政府和关键基础设施。

CISA新增到KEV目录的第一个漏洞是CVE20231671，这是一个严重的CVSS 98Sophos Web Appliance命令注入漏洞，存在于“警告处理程序”中。此漏洞可能导致所有早于43104版本的产品发生远程代码注入。

Sophos的一位发言人指出，早在六个月前的4月4日，他们就针对所有的Sophos Web Appliances发布了自动补丁，并于2023年7月按计划逐步淘汰了Sophos Web Appliance。Sophos发言人表示：“我们感谢CISA对仍然在使用Sophos Web Appliance的少数用户的提醒，尤其是那些关闭了自动补丁及错过了我们持续更新的用户，并建议他们升级到Sophos Firewall，以便在未来获得最佳的网络安全。”

蘑菇加速器下载

CISA还新增了CVE20202551，这个漏洞是Oracle Fusion Middleware中的Oracle WebLogic Server的严重漏洞CVSS 98。NIST报告称，受影响的受支持版本包括103600、121300、122130和122140。

根据NIST的信息，该漏洞易于被利用，未经过身份验证的攻击者可以通过InternetInterORB协议IIOP对Oracle WebLogic Server进行攻击。成功的攻击可能导致Oracle WebLogic Server被接管。

最后，CISA新增了CVE202336584，这是一个中等严重性的漏洞CVSS 54，涉及Microsoft Windows的Web标记MOTW，存在安全功能绕过的风险，可能导致安全特性如Microsoft Office的受保护视图的完整性和可用性受到有限损害。

根据Microsoft的说明，攻击者利用此漏洞的方式是将文件托管在攻击者控制的服务器上，并说服目标用户下载并打开该文件。这将使攻击者能够干扰MOTW功能。