CISA 将正在被积极利用的 ConnectWise、Windows 漏洞添加到 KEV

ARTICLE TITLE: CISA Adds Actively Exploited ConnectWise, Windows Flaws to KEV

ARTICLE BODY:

执行摘要

美国网络安全和基础设施安全局（CISA）在2026年4月28日将其已知被利用漏洞（KEV）目录中增加了两个安全漏洞，并引用了积极利用的证据。其中一个漏洞，CVE-2024-1708，影响ConnectWise ScreenConnect，CVSS得分为8.4。第二个漏洞影响Microsoft Windows，尽管CISA尚未公开披露其CVE标识符。根据绑定操作指令（BOD）22-01，联邦文职行政部门机构必须在2026年5月19日之前修复这两个漏洞。

技术分析

CVE-2024-1708是ConnectWise ScreenConnect中的一个路径遍历漏洞，ConnectWise ScreenConnect是一个被托管服务提供商（MSP）和IT团队广泛使用的远程桌面和支持工具。根据CISA的咨询，该漏洞允许未经身份验证的攻击者遍历目录，并可能访问敏感文件或在受影响的服务器上执行任意代码。该漏洞最初在2024年初被披露，ConnectWise在版本23.9.8中发布了补丁。然而，它现在被添加到KEV目录中，证实威胁行为者正在积极利用这个漏洞，很可能针对未打补丁的实例。

第二个影响Microsoft Windows的漏洞，在CISA宣布时尚未被分配公共CVE标识符。该机构的KEV条目将其列为正在积极利用的Windows漏洞，但没有提供进一步的技术细节。这种不透明性对于CISA来说是不寻常的，CISA通常包括所有KEV添加的CVE ID。缺乏公共标识符可能表明Microsoft尚未完全披露该漏洞，或者正在针对一个补丁仍在等待的组件进行利用。CISA的指令同样适用于两个条目，这意味着即使没有命名CVE，机构也必须修复Windows漏洞。

CISA的KEV目录作为一个权威的已知在野外被利用的漏洞列表，BOD 22-01要求联邦机构在指定的时间线内修补列出的漏洞。虽然该指令只适用于美国联邦文职机构，CISA强烈建议所有组织优先修复KEV列出的漏洞。

缓解措施与建议

使用ConnectWise ScreenConnect的组织应立即验证他们是否运行的是23.9.8版本或更高版本，其中包含CVE-2024-1708的补丁。对于未命名的Windows漏洞，防御者应监控Microsoft的安全更新发布，并尽快应用任何相关补丁。在没有特定补丁的情况下，组织应实施网络分段，并尽可能限制对ScreenConnect服务器的远程访问。应定期审查CISA的KEV目录，并在规定的截止日期内修复任何影响范围内软件的列出漏洞。