美国CISA新增多项漏洞警告

关键点总结

• 新增漏洞 ：Edimax IP摄像头、NAKIVO备份和复制解决方案，以及SAP NetWeaver软件堆栈中的安全漏洞已被纳入CISA的已知被利用漏洞目录。
• 重要截止日期 ：联邦机构需在4月9日前解决这些漏洞。
• 最严重漏洞 ：Edimax IC-7100 IP摄像头的OS命令注入漏洞（CVE-2025-1316）已被多个基于Mirai的僵尸网络利用，自去年五月以来持续受到攻击。
• 建议 ：使用更新的视频监控设备以防止安全风险。

近期， 报导指出，利用EdimaxIP摄像头、NAKIVO备份和复制解决方案以及SAPNetWeaver软件堆栈中的三个安全问题的攻击活动促使这些漏洞被纳入美国网络安全和基础设施安全局(CISA)的已知被利用漏洞目录。联邦机构被要求在4月9日前修复这些安全隐患。

新增漏洞中最严重的是。自去年五月以来，该漏洞已被多个Mirai僵尸网络利用，当前该产品已达到生命周期终点，因此不太可能进行补丁更新。组织被建议使用更新的摄像头以降低安全风险。

此外，所有版本早于10.11.3.86570的NAKIVOBackup和Replication也受到了路径遍历漏洞（CVE-2024-48248）的影响，该漏洞可能被用来攻击敏感文件。同时，SAPNetWeaver应用服务器Java 7.5受到了目录遍历缺陷的影响，该缺陷被跟踪为CVE-2017-12637，可能被滥用以获取任意文件访问权限。

为了维护网络安全，组织应立即采取措施，确保其所有设备、软件和应用程序均为最新版本，并且及时修补任何已知漏洞。