世界各地的组织再次认识到不安装安全更新的风险,因为多个威胁参与者竞相利用两个最近修补的漏洞,使他们能够感染受保护网络的一些最关键部分。
这些漏洞的严重等级均为 9.8(满分 10),并且存在于两个对保护大型网络至关重要的不相关产品中。第一个被跟踪为CVE-2022-47966 ,是软件制造商 Zoho 使用该公司的ManageEngine的 24 个独立产品中的预身份验证远程代码执行漏洞。从去年 10 月到 11 月,它被一波又一波地修补。第二个漏洞CVE-2022-39952影响名为 FortiNAC 的产品,该产品由网络安全公司 Fortinet 制造,并于上周修复。
ManageEngine 和 FortiNAC 都被称为零信任产品,这意味着它们在假设网络已被破坏的情况下运行,并持续监控设备以确保它们未被感染或恶意行为。零信任产品不信任网络上的任何网络设备或节点,而是主动验证它们的安全性。