美國網路安全暨基礎設施安全局(CISA)旗下「已知遭駭漏洞」(KEV)目錄一直是企業組織做好漏洞管理和優先排序的寶貴參考資源。最近,CISA 已將兩個被駭客大量利用的漏洞新增到 KEV 目錄清單中,一為用於讀取 Excel 檔案資訊之開放原始碼 Perl 函式庫的漏洞,另一個是最新才修補不久的 Google Chrome 緩衝區溢位漏洞。CISA 並要求聯邦機構必須在 1 月 23 日之前根據供應商的指示加以解決,或停止使用受漏洞影響的產品。
Spreadsheet::ParseExcel 是通用函式庫,允許 Excel 檔案資料導入導出,並執行分析和自動化腳本。產品還為基於 Perl 的 Web App 的 Excel 文件執行提供相容層。
這次新增到 CISA KEV 清單編號 CVE-2023-7101 的漏洞,即為影響 0.65 版及更舊版 Spreadsheet::ParseExcel 函式庫的遠端程式碼執行(RCE)漏洞。據 CISA 的描述,函式庫之所以內含 RCE 漏洞,是因將某檔案未經驗證輸入傳送到字串類型「eval」函數,問題全出在 Excel 解析邏輯數字格式字串的評估不當。
Baracuda 旗下 ESG 電子郵件安全閘道器有使用這個開放原始碼函式庫,去年 12 月底遭中國駭客用 CVE-2023-7101 漏洞入侵攻擊。與資安公司 Mandiant 合作後,Barracuda 確認發動攻擊的始作俑者是中國駭客組織 UNC4841,成功攻擊漏洞,並在 ESG 植入「SeaSpy」和「altwater」惡意軟體。Barracuda 首先 12 月 20 日 ESG 緩解式安全補救,12 月 29 日 Spreadsheet::ParseExcel 0.66 版安全更新,成功解決漏洞問題。
再就 CVE-2023-7024 漏洞而言,CISA 歸納指出,Google Chromium WebRTC 是一項提供網頁瀏覽器即時通訊的開放原始碼專案,其內含堆積緩衝區溢位(Heap buffer overflow)漏洞,攻擊者可藉此讓系統停擺,或者能遠端執行任意程式碼。
雖然這個漏洞是由 Google 威脅分析小組(TAG)發現的,並透過 2023 年 12 月 20 日釋出的 Windows 120.0.6099.129/130 版和 Mac/Linux 120.0.6099.129 版的緊急更新成功修復了漏洞,但除了 Google Chrome 之外,凡是使用 WebRTC 的網頁瀏覽器都有可能受到影響。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
