CISA更新安全漏洞清单，涉及Sophos、Oracle和Microsoft产品

关键要点

• CISA新增了Sophos、Oracle和Microsoft的多个产品至已知被利用的漏洞（KEV）目录。
• 建议安全团队按照供应商的指示采取缓解措施，若无缓解措施则停止使用相关产品。
• 多个漏洞被与中国高级持续威胁（APT）组织的网络攻击相关联。

网络安全与基础设施安全局（CISA）于11月17日更新了其已知被利用的漏洞（KEV）目录，将Sophos、Oracle和Microsoft的产品纳入其中。CISA建议安全团队根据供应商的指示采取相应措施，但若没有缓解措施，则应停止使用相关产品。

根据SecurityWeek 的报道，攻击者利用Sophos产品漏洞
的事件并不鲜见。一些攻击与中国的APT组织有关，并针对南亚的政府及其他组织进行。此外，Oracle的漏洞被纳入KEV目录的原因是在一篇6月初的中提到，这个漏洞被中国的威胁行动者用作攻击目标，攻击对象为台湾的政府和关键基础设施。

CISA新增到KEV目录的第一个漏洞是，这是一个严重的（CVSS9.8）Sophos Web Appliance命令注入漏洞，存在于“警告处理程序”中。此漏洞可能导致所有早于4.3.10.4版本的产品发生远程代码注入。

Sophos的一位发言人指出，早在六个月前的4月4日，他们就针对所有的Sophos WebAppliances发布了自动补丁，并于2023年7月按计划逐步淘汰了Sophos WebAppliance。Sophos发言人表示：“我们感谢CISA对仍然在使用Sophos WebAppliance的少数用户的提醒，尤其是那些关闭了自动补丁及错过了我们持续更新的用户，并建议他们升级到SophosFirewall，以便在未来获得最佳的网络安全。”

CISA还新增了，这个漏洞是OracleFusion Middleware中的Oracle WebLogic Server的严重漏洞（CVSS9.8）。NIST报告称，受影响的受支持版本包括10.3.6.0.0、12.1.3.0.0、12.2.1.3.0和12.2.1.4.0。

根据NIST的信息，该漏洞易于被利用，未经过身份验证的攻击者可以通过Internet-InterORB协议（IIOP）对Oracle WebLogicServer进行攻击。成功的攻击可能导致Oracle WebLogic Server被接管。

最后，CISA新增了，这是一个中等严重性的漏洞（CVSS5.4），涉及Microsoft Windows的Web标记（MOTW），存在安全功能绕过的风险，可能导致安全特性如MicrosoftOffice的受保护视图的完整性和可用性受到有限损害。

根据，攻击者利用此漏洞的方式是将文件托管在攻击者控制的服务器上，并说服目标用户下载并打开该文件。这将使攻击者能够干扰MOTW功能。