安全企业Acronis旗下的超融合基础架构平台Cyber Infrastructure(ACI),去年10月修补重大层级漏洞CVE-2023-45249,如今传出被用于攻击行动的情况。

这项漏洞发生的原因,在于使用默认密码的情况,使得攻击者有机会借此远程执行任意程序代码(RCE),影响ACI多个版本,当时该公司发布5.4 update 4.2、5.3 update 1.3、5.2 update 1.3、5.1 update 1.2、5.0 update 1.4进行修补,此漏洞的CVSS风险评分达到了9.8。

值得留意的是,7月24日该公司提出警告,表明这项漏洞已遭广泛利用,呼吁IT人员应尽快套用更新。不过,他们并未透露攻击细节。

美国网络安全暨基础设施安全局(CISA)于29日,将此漏洞加入已被利用的漏洞(KEV)名单,并要求联邦机构必须在8月19日前完成修补作业。