CISA thêm hai lỗ hổng rủi ro cao vào danh mục khai thác: Các đội an ninh nên làm gì bây giờ

Cơ quan An ninh Mạng và Cơ sở Hạ tầng (CISA) một lần nữa đã cập nhật Danh mục Lỗ hổng Bị khai thác đã biết (KEV)—một nguồn thông tin quan trọng cho cả những người bảo vệ thuộc khu vực liên bang và tư nhân. Vào ngày 2 tháng 5 năm 2025, hai lỗ hổng đã được thêm vào và được xác nhận là đang bị khai thác trong thực tế:

• CVE-2025-34028 – Lỗ hổng Path Traversal trong Commvault Command Center
• CVE-2024-58136 – Lỗ hổng Đường dẫn Thay thế trong YiiFramework: Bảo vệ không đúng cách

Những mở rộng này nhấn mạnh sự cần thiết cho các tổ chức trong tất cả các lĩnh vực phải duy trì cảnh giác và chủ động trong quản lý lỗ hổng ngay cả khi không có yêu cầu liên bang đang hoạt động.

Tại sao Các CVE này Quan trọng

CVE-2025-34028 trong Commvault Command Center là một lỗ hổng path traversal cho phép kẻ tấn công đọc các thư mục không được phép hoặc chạy mã ngoài cấu trúc tệp dự định. Lỗ hổng này đặc biệt đáng lo ngại do tính nhạy cảm của các hệ thống sao lưu và bảo vệ dữ liệu, vốn là mục tiêu ưa thích của các kẻ tấn công ransomware và quốc gia.

CVE-2024-58136 ảnh hưởng đến Yii PHP Framework thường được sử dụng trong các ứng dụng web. Nó là kết quả của việc bảo vệ không đầy đủ các đường dẫn thay thế, có thể cho phép kẻ tấn công vượt qua các kiểm soát truy cập được thiết kế cho nó. Việc khai thác nó có thể dẫn đến việc sử dụng trái phép các chức năng hoặc dữ liệu nhạy cảm, do đó gây ra rủi ro đáng kể cho các nhà phát triển và quản trị viên nền tảng.

Vai trò của BOD 22-01

Các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) chịu sự chi phối của Chỉ thị Hoạt động Ràng buộc 22-01 phải khắc phục các lỗ hổng được liệt kê trong KEV trong thời gian quy định. Chỉ thị này yêu cầu một phản ứng có cấu trúc, ưu tiên đối với các CVE đang bị khai thác để có vị trí an ninh mạnh mẽ hơn trên các mạng chính phủ.
Mặc dù chỉ thị này nhắm vào các cơ quan liên bang, CISA mạnh mẽ đề nghị rằng tất cả các tổ chức—công ty tư nhân, nhà cung cấp cơ sở hạ tầng quan trọng và nhà cung cấp SaaS—sử dụng danh mục KEV như một danh sách khắc phục khẩn cấp.

Lời khuyên của Chuyên gia cho Các Đội An ninh

Tại Security Briefing, chúng tôi kêu gọi hành động ngay lập tức cho các quản trị viên giám sát các cài đặt Commvault hoặc Yii:

• Kiểm tra mọi cài đặt của Commvault Command Center và các ứng dụng web dựa trên Yii.
• Vá hoặc áp dụng các biện pháp giảm thiểu càng sớm càng tốt. Sự chậm trễ kéo dài trong việc vá các lỗ hổng bị khai thác công khai có thể dẫn đến sự xâm nhập trực tiếp.
• Áp dụng các kiểm soát truy cập tệp và tường lửa ứng dụng web (WAF) để xác định và ngăn chặn các nỗ lực truy cập path traversal hoặc đường dẫn thay thế.
• Theo dõi Danh mục KEV của CISA hàng tuần—tích hợp vào các quy trình quét và khắc phục lỗ hổng tự động.
• Kiểm tra nhật ký truy cập và tiến hành săn lùng mối đe dọa để tìm bất kỳ dấu hiệu khai thác trước đó, đặc biệt là trong các hệ thống đối diện bên ngoài.

Suy nghĩ Cuối cùng: Các cập nhật liên tục của CISA đối với danh mục KEV đại diện cho một hệ thống cảnh báo quan trọng. Không phản hồi các cảnh báo này cũng giống như giữ các điểm vào đã biết mở cho tội phạm mạng, những kẻ đang tích cực lợi dụng chúng. Bất kể bạn thuộc khu vực tư nhân hay công cộng, hãy xử lý mỗi bổ sung KEV với ưu tiên cao nhất. Quản lý lỗ hổng chủ động không còn là một lựa chọn—nó là một nhu cầu cần thiết để bảo vệ doanh nghiệp hiện đại.