美国网络安全和基础设施安全局(CISA)近日在其已知被利用漏洞目录中新增了两个安全漏洞,警告攻击者正在滥用HPE OneView管理软件中的最高严重级别漏洞以及微软Office中一个存在多年的缺陷。
CISA最新更新的已知被利用漏洞目录标记了CVE-2025-37164(HPE OneView中的代码注入漏洞)和CVE-2009-0556(PowerPoint代码注入漏洞,该漏洞已潜伏超过15年)。
CVE-2025-37164获得了完美的10.0 CVSS评分,影响HPE OneView软件,该软件用于从中央控制台管理服务器、存储和网络设备。在12月18日的安全公告中,HPE表示该漏洞可被利用来注入和执行代码,可能授予对受影响环境的完全控制权,但当时并未说明是否已有攻击正在进行。
CISA决定将该漏洞添加到其野外被利用目录中,表明情况现在已发生变化,尽管详细信息仍然有限。HPE没有回应相关问题,包括是否已在客户环境中观察到攻击者、可能有多少客户受到影响,或是否因漏洞利用而导致任何数据被窃取。
然而,安全公司此前曾警告该漏洞不太可能长期停留在理论层面。在HPE披露后,Rapid7发布了概念验证漏洞利用代码,建议防御者将该问题视为假定入侵场景。eSentire指出,可用漏洞利用代码的存在显著降低了攻击者从好奇转向入侵的门槛。
除了OneView问题外,CISA还标记了CVE-2009-0556,这是一个微软Office PowerPoint代码注入漏洞,在CVSS量表上评级为8.8。该漏洞由微软在2009年确认,允许远程攻击者在用户打开特制PowerPoint文件时通过内存损坏执行任意代码。微软多年前已作为MS09-017的一部分修补了该问题,但它出现在KEV目录中表明未修补或不受支持的系统仍在被成功攻击。
这两个漏洞几乎没有共同点。一个已经存在足够长的时间,应该早就被修补消除,而另一个是现代数据中心机械中的新企业级缺陷。对于攻击者来说,如果漏洞利用仍然有效,年龄显然不是阻碍因素。
Q&A
Q1:CVE-2025-37164漏洞有多严重?
A:CVE-2025-37164获得了完美的10.0 CVSS评分,属于最高严重级别。该漏洞影响HPE OneView管理软件,可被利用来注入和执行代码,potentially granting full control of affected environments。
Q2:CVE-2009-0556是什么漏洞?为什么现在还在被利用?
A:CVE-2009-0556是微软Office PowerPoint中的代码注入漏洞,评级为8.8分,早在2009年就被发现并修补。它现在仍被利用是因为一些系统没有及时更新补丁或使用不受支持的旧版本系统。
Q3:这两个漏洞被添加到CISA目录意味着什么?
A:CISA将这两个漏洞添加到已知被利用漏洞目录意味着攻击者正在野外积极利用这些漏洞进行攻击。这提醒组织需要立即采取防护措施,修补相关系统。
