CISA正在提醒美国联邦机构黑客利用最近修补的ScreenConnect漏洞,可能导致在服务器上执行远程代码。

该机构警告说,影响华硕路由器和Craft内容管理系统(CMS)的其他四个安全问题也被积极利用。

ConnectWise ScreenConnect 中的身份验证不当

4 月 24 日,ConnectWise 解决了 CVE-2025-3935 跟踪的安全问题,指出该漏洞可能被用于 ViewState 代码注入攻击。

供应商指出,ASP.NET Web Forms 依赖于 ViewState 组件来使用受机器密钥保护的 base64 编码数据来保存页面和控制状态。

如果具有特权访问权限的攻击者破坏了机器密钥,则可以通过恶意有效载荷触发服务器上的远程代码执行。

继最近的ConnectWise漏洞之后,一些客户表示该事件可能与CVE-2025-3935有关。

然而,ConnectWise没有对攻击方法或妥协的性质发表评论。多份报告指出,ConnectWise发现“极少数ScreenConnect客户”受到影响。

华硕和Craft CMS中的关键错误

在本周的警报中,CISA还警告威胁行为者利用华硕路由器和Craft CMS中的四个漏洞,其中两个至关重要:

• ①CVE-2021-32030(9.8 严重严重评分):允许在华硕GT-AC2900和Lyra Mini设备中绕过身份验证
• ②CVE-2023-39780 (8.8 高分数 ) : 在华硕 RT-AX55 中注入操作系统,需要身份验证
• ③CVE-2024-56145(9.3 严重严重评分):在 Craft CMS 中输入代码,在特定条件下可能导致远程代码执行
• ④CVE-2025-35399(6.9中等严重程度评分):未经身份验证的客户端可以向Craft CMS服务器上的已知文件位置引入PHP代码
  

影响华硕RT-AX55设备的漏洞在过去几个月中被用于隐身攻击,这些攻击似乎是“资源充足且能力很强的对手”。

在上周的一份报告中,网络安全平台GreyNoise表示,黑客已经将CVE-2023-39780漏洞与身份验证旁路技术联系起来,这些技术没有分配CVE来形成名为AyySSHush的僵尸网络。

CISA将五个安全问题添加到其已知受剥削脆弱性(KEV)目录中,并预计联邦机构将在6月23日之前实施供应商建议的缓解措施或停止使用受影响的产品。