美国网络安全和基础设施安全局 (CISA) 将 Acclaim Systems USAHERDS 漏洞添加到其已知漏洞目录中。美国网络安全和基础设施安全局(CISA)在其已知漏洞(KEV)目录中增加了一个 Acclaim Systems USAHERDS 漏洞,该漏洞被追踪为 CVE-2021-44207(CVSS 得分:8.1)。USAHERDS 由 Acclaim Systems 开发,是一个基于网络的应用程序,旨在协助美国各州政府跟踪和管理动物健康和疾病爆发。它是 AgraGuard 产品套件的一部分,该套件包括 USAHERDS、USALIMS、USAPlants、USAFoodSafety 和 USAMeals,旨在支持农业和食品安全操作。中国网络间谍组织 APT41 利用该漏洞入侵了多个美国州政府网络。该漏洞源于使用硬编码凭证漏洞,它影响 Acclaim USAHERDS 7.4.0.1 及更早版本的网络应用程序。知道静态 ValidationKey 和 DecryptionKey 值的攻击者可利用它们在运行应用程序的系统上执行任意代码。攻击者可以制作恶意的 ViewState 数据来绕过 MAC 检查,并触发服务器端代码执行。“Acclaim USAHERDS Web 应用程序 7.4.0.1 及更早版本(2021 年 11 月之前的版本)使用静态 ValidationKey 和 DecryptionKey 值。高度–可利用对 ValidationKey 和 DecryptionKey 的了解,在运行应用程序的系统上实现远程代码执行。”来自 Mandiant 的安全研究人员 Douglas Bienstock 向公司报告了这一问题。Acclaim Systems 公司于 2021 年 11 月发布了一个补丁来修复该漏洞,从而解决了这一问题。根据约束性操作指令(BOD)22-01: 减少已知漏洞被利用的重大风险》,FCEB 机构必须在到期日之前解决已发现的漏洞,以保护其网络免受利用目录中漏洞的攻击。专家还建议私营机构审查目录并解决其基础设施中的漏洞。CISA 命令联邦机构在 2025 年 1 月 13 日前修复该漏洞。
