近期，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）針對(duì)聯(lián)邦機(jī)構(gòu)發(fā)出緊急安全通告，強(qiáng)調(diào)必須迅速應(yīng)對(duì)Windows及Adobe ColdFusion中存在的安全漏洞，以有效抵御可能發(fā)生的網(wǎng)絡(luò)攻擊。

CISA已將這兩個(gè)高危漏洞納入其“已知被利用漏洞目錄”（KEV），并明確要求所有聯(lián)邦機(jī)構(gòu)在限定的三周內(nèi)完成漏洞修復(fù)工作，以確保系統(tǒng)的安全性。

其中，Windows內(nèi)核漏洞（CVE-2024-35250）是一個(gè)由不受信任的指針取消引用引發(fā)的安全缺陷。該漏洞無(wú)需用戶(hù)交互，本地攻擊者即可利用此漏洞獲取系統(tǒng)最高權(quán)限。DEVCORE研究團(tuán)隊(duì)在Pwn2Own 2024黑客大賽上，成功利用此漏洞攻破了裝有最新更新的Windows 11系統(tǒng)，凸顯了其嚴(yán)重性。

針對(duì)這一漏洞，微軟在2024年6月的補(bǔ)丁星期二發(fā)布了相應(yīng)的修復(fù)補(bǔ)丁。然而，令人擔(dān)憂(yōu)的是，漏洞利用的概念驗(yàn)證代碼在今年10月已被公開(kāi)上傳至GitHub，這意味著攻擊者可能已經(jīng)或正在利用此漏洞進(jìn)行惡意活動(dòng)。

另一方面，Adobe ColdFusion也存在一個(gè)嚴(yán)重的安全漏洞（CVE-2024-20767）。此漏洞源于訪問(wèn)控制不當(dāng)，使得未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者能夠讀取系統(tǒng)文件及其他敏感信息。攻擊者甚至可以利用暴露在互聯(lián)網(wǎng)上的ColdFusion服務(wù)器管理面板，繞過(guò)安全措施，執(zhí)行任意的文件系統(tǒng)寫(xiě)入操作。

據(jù)Fofa搜索引擎統(tǒng)計(jì)，目前已有超過(guò)145,000個(gè)ColdFusion服務(wù)器暴露在互聯(lián)網(wǎng)上，但具體哪些服務(wù)器的管理面板可被遠(yuǎn)程訪問(wèn)仍難以確定。這一現(xiàn)狀無(wú)疑增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

Adobe在2024年3月已經(jīng)發(fā)布了針對(duì)此漏洞的修復(fù)補(bǔ)丁。然而，令人不安的是，多個(gè)概念驗(yàn)證漏洞利用代碼隨后在網(wǎng)上被公開(kāi)，這無(wú)疑加劇了網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)。

面對(duì)這些嚴(yán)重的安全漏洞，CISA的警告無(wú)疑是對(duì)聯(lián)邦機(jī)構(gòu)的一次重要提醒。迅速修復(fù)這些漏洞，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，已成為當(dāng)前的首要任務(wù)。