警惕：未列入CISA目录的危险漏洞

主要要点

• 研究人员标识出131个与勒索软件相关的漏洞，其中8个被认为是“最危险”的，因为它们容易被利用。
• 这些漏洞尚未列入美国网络安全和基础设施安全局（CISA）的已知被利用漏洞目录（KEV）。
• 这些漏洞分布在超过30个产品中，包括微软、甲骨文、Zyxel和QNAP等公司的产品。

研究人员发现，与勒索软件相关的131个漏洞中，有8个尚未加入CISA的漏洞目录，它们被认为是“最危险”的，因为这些漏洞容易被从初始访问到数据外泄的过程中利用。

来自Cyber SecurityWorks、Ivanti、Cyware和Securin的一份勒索软件报告警告组织不要忽视尚未添加到CISA的KEV目录中的漏洞，尤其是那些具备完整MITRE对抗战术、技术和常识（ATT&CK）杀伤链的漏洞，因为这些漏洞的攻击每个阶段都可以被定义、描述和追踪。

根据报告，研究人员识别出57个极其危险的与勒索软件相关的漏洞，这些漏洞拥有完整的杀伤链，其中8个未被KEV列出。这8个漏洞存在于超过30个产品中，包括微软、甲骨文、Zyxel和QNAP的产品。

Ivanti的研究团队特别指出，存在于Zyxel（台湾多国宽频供应商UnizyxHolding的子公司）中的漏洞（CVE-2016-10401和CVE-2017-6884）尤其引人注目，因为目前有国家级和全球威胁行为者可能正在针对台湾。此外，这些漏洞是2016年和2017年发现的老漏洞，却尚未有修补程序。

Ivanti首席产品官Srinivas Mukkamala告诉SC Media，研究团队已与CISA联系，建议将所有严重漏洞纳入其KEV目录。

CISA的发言人没有直接回应SCMedia对于是否会增加这些漏洞的询问，但表示：“CISA依赖利益相关者的反馈来改善其对网络安全社群的服务，并在提名主动被利用的漏洞纳入KEV目录方面获取意见。”

CISA于2021年11月发布了KEV目录，以帮助组织管理漏洞并优先进行修补，这一服务是免费的。最初目录中有287个漏洞，现在已经扩展为包含866个CVEs的库。

Mukkamala表示，所有研究人员应积极与CISA合作，帮助扩展KEV目录。

“KEV是被利用漏洞的权威来源。我们从这个最佳服务中受益，而无需支付费用。因此，作为防御者，我们为什么不回馈，与CISA分享我们的知识和信息？”他说。

GuidePoint Security的DFIR与威胁情报高级总监TonyCook赞同Mukkamala的观点，他强调组织应当建立更透明的漏洞披露流程，以帮助确保这个庞大的生态系统的安全。

“目前最大的问题之一是，企业不愿意向CISA披露安全事件或漏洞信息，担心法律责任。如果组织能够公开报告正在发生的事情，那么CISA的资料库会更加全面，”Cook说。