CISA 將 Zoho、Apache、Qualcomm、Mikrotik 缺陷添加到積極利用的問題列表中

美國網絡安全和基礎設施安全局 (CISA) 更新了其積極利用的漏洞目錄， 建議聯邦機構在特定時間范圍和截止日期內解決 Qualcomm、Mikrotik、Zoho 和 Apache 軟件基金會軟件中的缺陷。

CISA 還警告聯邦企業延遲解決這些漏洞的風險。

美國機構要求聯邦機構在 2021 年 12 月 15 日前為 Zoho ManageEngine ServiceDesk 缺陷應用安全補丁。添加到目錄中的兩個缺陷是CVE-2021-37415 Zoho ManageEngine ServiceDesk 身份驗證繞過漏洞和CVE-2021-44077  Zoho ManageEngine ServiceDesk Plus 遠程代碼執行。

在過去的幾個月里，這兩個問題都被民族國家行為者積極利用。

CISA 還敦促 在 2022 年 6 月 1日內解決CVE-2018-14847 MikroTik 路由器操作系統目錄遍歷漏洞。

添加到目錄中的另一個缺陷是CVE-2021-40438  Apache HTTP 服務器端請求偽造 (SSRF) 漏洞，必須在 2021 年 12 月 15 日之前解決。幾天前，德國網絡安全局和思科警告說，攻擊會利用最近修補了 Apache HTTP 服務器中的 CVE-2021-40438 缺陷。

德國 BSI 機構發布了有關此漏洞的警報，它知道至少有一次利用此漏洞的攻擊。

被積極利用的漏洞列表中添加的第五個問題 是影響多個高通芯片組的CVE-2020-11261不正確的輸入驗證缺陷。必須在 2022 年 6 月 1 日之前解決此漏洞。

谷歌警告 稱，威脅行為者利用高通漏洞進行有限的、有針對性的攻擊。

“有跡象表明 CVE-2020-11261 可能受到有限的、有針對性的利用”，  上周在 1 月份的安全公告中寫道。

CVE-2020-11261 漏洞由 Google 的 Android 安全團隊于 2020 年 8 月 20 日向高通報告，并于 2021 年 1 月得到解決。