美国网络安全暨基础设施安全局(CISA)旗下“已知遭黑漏洞”(KEV)目录一直是企业组织做好漏洞管理和优先排序的宝贵参考资源。最近,CISA已将两个被黑客大量利用的漏洞添加到KEV目录清单中,一为用于读取Excel文件资讯之开放源码Perl函数库的漏洞,另一个是最新才修补不久的Google Chrome缓冲区溢出漏洞。CISA并要求联邦机构必须在1月23日之前根据供应商的指示加以解决,或停止使用受漏洞影响的产品。
Spreadsheet::ParseExcel是通用函数库,允许Excel文件数据导入导出,并执行分析和自动化脚本。产品还为基于Perl的Web App的Excel文件执行提供兼容层。
这次添加到CISA KEV清单编号CVE-2023-7101的漏洞,即为影响0.65版及更旧版Spreadsheet::ParseExcel函数库的远程程序代码执行(RCE)漏洞。据CISA的描述,函数库之所以内置RCE漏洞,是因将某文件未经验证输入发送到字符串类型“eval”函数,问题全出在Excel解析逻辑数字格式字符串的评估不当。
Baracuda旗下ESG电子邮件安全网关有使用这个开放源码函数库,去年12月底遭中国黑客用CVE-2023-7101漏洞入侵攻击。与安全公司Mandiant合作后,Barracuda确认发动攻击的始作俑者是中国黑客组织UNC4841,成功攻击漏洞,并在ESG植入“SeaSpy”和“altwater”恶意软件。Barracuda首先12月20日ESG缓解式安全补救,12月29日Spreadsheet::ParseExcel 0.66版安全更新,成功解决漏洞问题。
再就CVE-2023-7024漏洞而言,CISA归纳指出,Google Chromium WebRTC是一项提供网页浏览器即时通信的开放源码项目,其内置堆积缓冲区溢出(Heap buffer overflow)漏洞,攻击者可借此让系统停摆,或者能远程执行任意程序代码。
虽然这个漏洞是由Google威胁分析小组(TAG)发现的,并通过2023年12月20日发布的Windows 120.0.6099.129/130版和Mac/Linux 120.0.6099.129版的紧急更新成功修复了漏洞,但除了Google Chrome之外,凡是使用WebRTC的网页浏览器都有可能受到影响。
(首图来源:shutterstock)