美国网络安全和基础设施安全局 (CISA) 在 2023 年对一家未具名的联邦文职行政部门 (FCEB) 机构进行了一次红队演习,揭示了严重的安全弱点。该演习是CISA的 SILENTSHIELD 评估的一部分,旨在模仿敌对国家威胁团体的策略,未事先通知。红队利用了该机构 Oracle Solaris 系统中的一个未修补的漏洞 (CVE-2022-21587),实现了全面入侵。
CVE-2022-21587 是一个未经身份验证的远程代码执行漏洞,CVSS 评分高达 9.8,于 2023 年 2 月被添加到 CISA 的已知利用漏洞 (KEV) 目录中。尽管及时被告知该未打补丁的设备,但该机构花了两周多的时间才应用必要的补丁,并且未能对受影响的服务器进行彻底调查。当漏洞利用代码公开发布时,这种失误使得第三方能够利用该漏洞。
CISA的调查结果凸显了该机构安全协议中的重大差距,包括补丁延迟和事件响应不足,强调了及时和全面的漏洞管理的重要性。来源