大型機構和企業為了確保系統穩定,有時會使用相當陳舊的軟件,不過在網絡時代,太過時甚至已經不再更新的軟件,就會成為安全漏洞。最近有美國政府機構的伺服器就因此受到入侵。
最近美國網絡安全機構 CISA 發出警告,表示有不明身份的黑客利用一個以前已知的 Adobe ColdFusion 軟件漏洞入侵了聯邦政府機構的一個伺服器。Adobe ColdFusion 目前已經不再更新,因此也無法修補相關漏洞。CISA 表示,黑客分別在 6 月和 7 月發動攻擊,不過並未提及到底是哪個機構,也未有證據顯示黑客有否植入惡意軟件或盜取數據。
CISA 在今年 3 月已經命令所有聯邦機構修補 Adobe ColdFusion 中的已知漏洞 CVE-2023-26360,也就是這些攻擊所使用的漏洞,不過雖然 CISA 方面發出了警告,連 Windows 的防毒軟件 Microsoft Defender for Endpoint 也自動「隔離」黑客活動,不過並未成功阻止。只要機構不改用其他軟件並放棄 Adobe ColdFusion,漏洞就會一直存在。因此對於已經過時不再有任何支援或者更新的軟件,仍然需要相當審慎並尋找其他更安全的選擇。
來源:TechCrunch
