CISA公告：两项需及时修补的漏洞

关键要点

CISA将两项漏洞列入已知被利用漏洞(KEV)目录，要求联邦机构在1月23日前修补。CVE20237101是一个用于读取Excel文件的开源Perl库，存在安全隐患。CVE20237024是一个影响Google Chrome及其他Chromium浏览器的严重零日漏洞，可被恶意攻击者利用进行真实时间沟通的攻击。本文强调了攻击者利用不被注意的技术栈弱点进行攻击的趋势，以及需要加强安全措施的重要性。

在本周二，美国网络安全与基础设施安全局CISA将两项漏洞列入其已知被利用漏洞(KEV)目录，要求联邦机构必须在1月23日之前修补这些漏洞。

漏洞详细信息

第一项漏洞CVE20237101，这是一个用于读取Microsoft Excel文件的开源Perl库，名为SpreadsheetParseExcel。该库是一个通用库，可以对Excel文件进行数据导入/导出操作，还能够运行分析和自动化脚本。

第二项漏洞CVE20237024，在去年底被广泛报道为一个严重的零日缺陷2023年第八个影响Google Chrome及其他Chromium基础的浏览器，例如Microsoft Edge和Opera。该缺陷可能让恶意攻击者随后入侵WebRTC组件，此组件用于实时通信，例如视频通话。

小牛加速器试用

Qualys Threat Research Unit的网络威胁主任Ken Dunham指出，Excel库中的漏洞引起了安全研究人员的注意，因为未经证实的开源情报显示，一份武器化的Microsoft Excel电子表格被用作一场复杂的中国网络攻击活动的一部分，目的是进行利用，且该活动涉及Mandiant所称的UNC4841团体。

Dunham还表示，尽管关于CVE20237101的实际攻击披露有限，UNC4841这一中国针对性威胁团体，过去一直在针对Barracuda Networks及国际政府和高价值目标进行攻击，现在据报道甚至利用了新披露的CVE20237101漏洞。

“一旦成功利用，后续便会迅速部署恶意有效载荷，如SEASPY和SALWATER等定制恶意软件。”Dunham表示。“一旦对目标进行持久化和侦查，攻击者可能会试图横向移动，以扩大其攻击范围。值得注意的是，CVE20237101被列入CISA KEV目录却尚未得到CVSS评分，这表明该漏洞在可利用性方面的重大意义。”

Bambenek Consulting的总裁John Bambenek指出，Perl是一种较老的编程语言，通常用于文本操作。因此，它在几年前的垃圾邮件过滤软件中成为一种主流工具，尽管该语言在开发者中普遍不再受欢迎。

Bambenek认为，使得这个漏洞特别引人注目的是，背后进行上个月攻击的威胁行为者不走寻常路，找到了一处可利用的漏洞，通过远程代码执行在垃圾邮件过滤软件中使网络钓鱼攻击在邮件网关层面上自我执行，从而变得更高效和具有影响力。

“这表明复杂的攻击者正在关注我们技术栈中常被忽视的部分，以发现我们可能完全遗忘的工具和库中的弱点。”Bambenek说道。

谷歌浏览器的第八个零日漏洞

关于谷歌的零日漏洞，Syxsense的首席执行官Ashley Leonard表示，谷歌通过在12月20日发布发现和披露，承认了该漏洞的严重性，这也是在谷歌威胁分析小组发现漏洞后的第二天。Leonard说，谷歌还公开声明，他们知道在野外有针对性的攻击，同时呼吁用户将浏览器更新到最新版本。