2. NEWS最新消息

NEWS最新消息

2023/01/15 SSL VPN 漏洞修補總整理

Citrix 系統漏洞修補

Citrix ADC的零時差漏洞已被用於攻擊行動

業者Citrix於12月13日發布資安通告，指出駭客利用CVE-20對CitrixADC和Citrix Gateway動攻擊。該漏洞必須在系統設置為SAML的服務提供者(SP) ，或是身分識別資訊提供者(IdP)的角色,才會觸發。

由於沒有其他的緩解措施,該公司呼籲用戶盡速裝更新軟體。

Fortinet SSL VPN漏洞攻擊 

Fortinet於11月底修補的SSLVPN系統漏洞出現攻擊行動資安業者Fortinet於12月12日發布資安通告，該公司旗下的FortiS SSL VPN重大漏洞CVE-2022-42475已出現攻擊行動。此洞存在於sslvpd模

組，為記憶體緩衝區溢位，一旦遭到利用，未經身分驗證的使用者就能遠喘癱瘓SSLVPN設備，或是執行任意程式碼，CVSS風險評分為9.3分。

資安新聞網站Bleeping Computer現Fortinet早於11月28日修漏洞，但並未提及已出現攻擊行動的情況,後於12月7日向客戶私下通報節。

PulseConnectSSLVP VPN 漏洞修補 

逾4千個存在漏洞的PulseConnectSSLVP曝露於公開路臺灣有近2百臺設備存在這類資安風險，業者Censys揭露SSL VPN系統Pulse Conect曝險的情況，在全球網際網路存取的30,266台伺服器裡，有4460臺存在40項已知漏洞，美國曝險的伺服器數量最多，有1,033台，其次是日本的735臺臺灣則有188臺曝露相關漏洞。



                                                                                                                                                                                          內文轉自 IT-Home 2022-1109