CISA 将 Twilio Authy 和 IE 漏洞添加到利用漏洞列表中
CISA 将 Twilio Authy 和 IE 漏洞添加到利用漏洞列表中
根据主动利用的证据,美国网络安全和基础设施安全局 (CISA) 在其已知被利用漏洞 ( KEV ) 目录中添加了两个安全漏洞。
这些漏洞如下:
CVE-2012-4792(CVSS 评分:9.3)- Microsoft Internet Explorer 释放后使用漏洞
CVE-2024-39891(CVSS 评分:5.3)- Twilio Authy 信息泄露漏洞
CVE-2012-4792 是 Internet Explorer 中存在十年之久的释放后使用漏洞,它可能允许远程攻击者通过特制的网站执行任意代码。
目前尚不清楚该漏洞是否遭到了新的利用,尽管早在 2012 年 12 月,该漏洞就被用作针对外交关系委员会 (CFR) 和 Capstone Turbine Corporation 网站的水坑攻击的一部分。
另一方面,CVE-2024-39891 指的是未经身份验证的端点中的信息泄露错误,可被利用来“接受包含电话号码的请求,并响应有关该电话号码是否在 Authy 注册的信息”。
本月早些时候,Twilio表示已在 25.1.0(Android)和 26.1.0(iOS)版本中解决了该问题,此前身份不明的威胁行为者利用该缺陷识别了与 Authy 帐户相关的数据。
CISA在一份咨询报告中表示: “这些类型的漏洞是恶意网络行为者频繁攻击的媒介,对联邦企业构成了重大风险。”
联邦民事行政部门 (FCEB) 机构必须在 2024 年 8 月 13 日之前修复已发现的漏洞,以保护其网络免受主动威胁。
评论0次