上周五,美國網絡安全和基礎設施安全局(CISA)在其漏洞(KEV)目錄中新增三個安全漏洞,具體如下:
CVE-2023-28432 (CVSS評分- 7.5)- MinIO信息泄露漏洞
CVE-2023-27350 (CVSS評分- 9.8)-剪紙MF/NG不當訪問控制漏洞
CVE-2023-2136 (CVSS評分-待定)-谷歌Chrome Skia整數溢出漏洞
MinIO的維護人員在2023年3月21日發布的一份資訊報告中表示,在集群部署中,MINIO_SECRET_KEY和MINIO_ROOT_PASSword會還原所有環境變量,導致信息泄露。
據GreyNoise收集的數據顯示,在過去的30天里,來自美國、荷蘭、法國、日本和芬蘭等多達18個惡意IP地址試圖利用該漏洞。值得注意的是,這家威脅情報公司在上月底發布的警報文件中指出,OpenAI為開發者提供了一個參考方法,闡述了如何將他們的插件集成到ChatGPT上,主要是依賴于一個舊版本的MinIO,而該版本存在CVE-2023-28432的漏洞。
GreyNoise表示,OpenAI開發的新功能對于那些想在ChatGPT集成中訪問不同提供商實時數據的開發人員來說,的確是一個非常有價值的工具,但安全性始終應該是擺在首位的核心設計原則。
此外,KEV目錄中還添加了一個會致使PaperCut軟件遠程代碼執行錯誤的漏洞。攻擊者可以通過該漏洞實現免身份驗證,并直接遠程運行任意代碼。
不過截至2023年3月8日,供應商已經修復了該漏洞,并發布了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已于2023年1月10日正式報告了該問題,并預計將于2023年5月10日發布更多技術細節。
本周早些時候,有一家總部位于墨爾本的公司分享了一則最新消息稱:有證據表明,在2023年4月18日左右,有攻擊者通過漏洞攻擊了未打補丁服務器。網絡安全公司北極狼(Arctic Wolf)表示,此前也發現了一些PaperCut服務器被入侵的情況。一經入侵,RMM的工具Synchro MSP會直接在被損害系統上自動加載。
最后一個被添加至目錄的是谷歌Chrome漏洞,該漏洞會直接影響到Skia 2D圖形庫,并可以讓威脅者通過精心制作的html頁面執行沙盒逃逸。
CISA建議美國聯邦民事行政部門(FCEB)機構在2023年5月12日之前盡快修復這幾個漏洞,以確保其網絡安全。
