- NEWS最新消息
- 新聞資訊
NEWS最新消息
2023/01/15 SSL VPN 漏洞修補總整理
Citrix 系統漏洞修補Citrix ADC的零時差漏洞已被用於攻擊行動
業者Citrix於12月13日發布資安通告,指出駭客利用CVE-20對CitrixADC和Citrix Gateway動攻擊。該漏洞必須在系統設置為SAML的服務提供者(SP) ,或是身分識別資訊提供者(IdP)的角色,才會觸發。
由於沒有其他的緩解措施,該公司呼籲用戶盡速裝更新軟體。
Fortinet SSL VPN漏洞攻擊
Fortinet於11月底修補的SSLVPN系統漏洞出現攻擊行動資安業者Fortinet於12月12日發布資安通告,該公司旗下的FortiS SSL VPN重大漏洞CVE-2022-42475已出現攻擊行動。此洞存在於sslvpd模
組,為記憶體緩衝區溢位,一旦遭到利用,未經身分驗證的使用者就能遠喘癱瘓SSLVPN設備,或是執行任意程式碼,CVSS風險評分為9.3分。
資安新聞網站Bleeping Computer現Fortinet早於11月28日修漏洞,但並未提及已出現攻擊行動的情況,後於12月7日向客戶私下通報節。
PulseConnectSSLVP VPN 漏洞修補
逾4千個存在漏洞的PulseConnectSSLVP曝露於公開路臺灣有近2百臺設備存在這類資安風險,業者Censys揭露SSL VPN系統Pulse Conect曝險的情況,在全球網際網路存取的30,266台伺服器裡,有4460臺存在40項已知漏洞,美國曝險的伺服器數量最多,有1,033台,其次是日本的735臺臺灣則有188臺曝露相關漏洞。
內文轉自 IT-Home 2022-1109