美国网络安全与基础设施安全局(CISA)发布了一则关于 CVE-2024-20953 漏洞的紧急公告。CVE-2024-20953 是Oracle的敏捷产品生命周期管理(PLM)软件中一个严重的反序列化漏洞,目前该漏洞已在现实环境中被积极利用。2025 年 2 月 24 日,该漏洞被列入美国网络安全与基础设施安全局的已知被利用漏洞(KEV)目录中。该漏洞使得未经身份验证的攻击者能够入侵企业系统、窃取敏感数据,并扰乱关键的供应链运营。美国联邦机构已被责令在 2025 年 3 月 17 日前修复该漏洞,同时,所有使用甲骨文Oracle Agile PLM 软件的组织都被敦促优先采取措施缓解该漏洞带来的风险。CVE-2024-20953 漏洞存在于 Oracle Agile PLM 9.3.6 版本的导出组件中,该平台在全球范围内被用于管理产品开发、合规性以及协作事宜。该漏洞的通用漏洞评分系统(CVSS)评分为 8.8 分,这意味着低权限的攻击者可以通过 HTTP 请求执行任意代码,进而导致整个系统被攻陷。攻击者利用了不安全的反序列化过程(即将不可信的数据转换为可执行对象的过程)来绕过身份验证并控制系统。成功的攻击可能会导致数据泄露、知识产权被盗,或者对产品生命周期数据进行篡改。Oracle Agile PLM对于制造业、医疗保健业和科技行业至关重要,在这些行业中,它被用于管理敏感的产品设计蓝图、质量控制以及合规文档。一旦系统被攻破,对手可能会破坏生产线、泄露专有设计,或者将恶意代码注入到产品更新中。由于该漏洞与Oracle 的供应链套件相关联,这进一步加大了风险,因为被攻陷的产品生命周期管理系统可能会将攻击传播到下游合作伙伴处。缓解措施与应对方法Oracle 公司在 2024 年 1 月的关键补丁更新中发布了针对 CVE-2024-20953 漏洞的补丁,敦促客户升级到 9.3.7 版本或更高版本。美国网络安全与基础设施安全局要求联邦机构立即安装这些更新,同时建议私营企业采取以下措施:1.使Agile PLM系统与公共互联网访问隔离。2.应用Oracle 公司的安全补丁并验证配置。3.监控针对Export 模块的异常 HTTP 活动的网络流量。Oracle 公司安全保障副总裁Eric Maurice强调:“延迟安装补丁的组织正将自身置于可能遭受不可挽回的运营和声誉损害的风险之中。” 此前,在 2024 年 11 月,也曾针对 CVE-2024-21287 漏洞发布过类似警告,CVE-2024-21287 是Oracle Agile PLM 软件中的另一个漏洞,曾被作为零日漏洞利用,这凸显了该平台对攻击者的吸引力。随着全球范围内供应链攻击的激增,美国网络安全与基础设施安全局的这则公告突显了主动进行漏洞管理的迫切必要性。
