CISA tilføjer to højrisiko-sårbarheder til kataloget over udnyttede sårbarheder: Hvad sikkerhedsteams bør gøre nu

CISA tilføjer to højrisiko-sårbarheder til kataloget over udnyttede sårbarheder: Hvad sikkerhedsteams bør gøre nu Katalog over kendte udnyttede sårbarheder (KEV)—en kritisk informationskilde for både føderale og private forsvarsteams. Den 2. maj 2025 blev to sårbarheder tilføjet, som er blevet bekræftet som udnyttet i det fri:

• CVE-2025-34028 – Commvault Command Center sti-traverseringssårbarhed
• CVE-2024-58136 – YiiFramework alternativ sti-sårbarhed: Uhensigtsmæssig beskyttelse

Disse udvidelser understreger behovet for, at organisationer på tværs af alle sektorer forbliver årvågne og proaktive i deres sårbarhedshåndtering – selv når de ikke er underlagt aktive føderale krav.

Hvorfor disse CVE’er er vigtige

CVE-2025-34028 I Commvault Command Center findes en sti-traverseringssårbarhed, der gør det muligt for angribere at læse uautoriserede mapper eller køre kode uden for de tilsigtede filstrukturer. Sårbarheden er særligt bekymrende på grund af den følsomme karakter af backup- og databeskyttelsessystemer, som ofte er mål for ransomware-angreb og statssponsorerede angribere.

CVE-2024-58136 Påvirker Yii PHP Framework, som ofte anvendes i webapplikationer. Det skyldes utilstrækkelig beskyttelse af alternative stier, hvilket kan give angribere mulighed for at omgå adgangskontroller, der er designet til at beskytte systemet. Udnyttelse af sårbarheden kan føre til uautoriseret adgang til følsomme funktioner eller data og udgør dermed en betydelig risiko for udviklere og platformadministratorer.

Rollen af BOD 22‑01

Føderale civile agenturer underlagt den civile gren af den udøvende magt (Federal Civilian Executive Branch, FCEB) og omfattet af BOD 22‑01... Binding Operational Directive 22-01 skal afhjælpe sårbarheder, der er opført i KEV-kataloget, inden for fastsatte tidsfrister. Direktivet kræver en struktureret og prioriteret indsats over for aktivt udnyttede CVE’er for at styrke sikkerheden i offentlige netværk.
Selvom direktivet er rettet mod føderale agenturer, anbefaler CISA kraftigt, at alle organisationer—private virksomheder, leverandører af kritisk infrastruktur og SaaS-udbydere—bruger KEV-kataloget som en hasteliste til afhjælpning.

Ekspertråd til sikkerhedsteams

Hos Security Briefing opfordrer vi til øjeblikkelig handling fra administratorer, der har ansvar for Commvault- eller Yii-installationer:

• Gennemgå alle installationer af Commvault Command Center og webapplikationer baseret på Yii.
• Opdater eller implementer afbødningsforanstaltninger hurtigst muligt. Langvarig forsinkelse med at rette offentligt udnyttede sårbarheder kan føre til direkte kompromittering.
• Anvend filadgangskontroller og webapplikations-firewalls (WAF'er) for at identificere og forhindre forsøg på sti-traversering eller adgang via alternative stier.
• Overvåg CISA’s KEV-katalog ugentligt – integrer det i automatiserede processer for sårbarhedsscanning og afhjælpning.
• Gennemgå adgangslogfiler og udfør trusselsjagt for tegn på tidligere udnyttelse, især i systemer med ekstern adgang.

Afsluttende bemærkning: CISA’s løbende opdateringer af KEV-kataloget udgør et vigtigt advarselssystem. At ignorere disse advarsler svarer til at lade kendte adgangspunkter stå åbne for cyberkriminelle, som aktivt udnytter dem. Uanset om du tilhører den private eller offentlige sektor, bør hver ny KEV-tilføjelse behandles med højeste prioritet. Proaktiv sårbarhedshåndtering er ikke længere et valg – det er en nødvendighed for at sikre den moderne virksomhed.