2024年才刚开始没多久,已有相当多的漏洞消息需要留意,包括零时差漏洞攻击、已知漏洞遭锁定利用,以及漏洞修补等不同面向:
(一)这星期又有骇客发动零时差漏洞攻击。此次被锁定的目标,是Ivanti的VPN产品Ivanti Connect Secure,以及网路安全存取产品Ivanti Policy Secure,当中2个零时差漏洞已被成功利用,分别是CVE-2024-21887与CVE-2023-46805,有资安业者研判是中国国家支持的骇客组织所为。
(二)我们看到美国CISA公布的新消息指出,有多个去年已知漏洞近期开始发现遭锁定利用。包括:Adobe ColdFusion的两个漏洞(