آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بر اساس شواهدی مبنی بر بهره برداری فعال، دو نقص امنیتی را به فهرست آسیب پذیری های شناخته شده (KEV) اضافه کرده است.

آسیب پذیری ها در زیر لیست شده اند:

CVE-2012-4792 (امتیاز CVSS: 9.3) - آسیب پذیری Microsoft Internet Explorer Use-After-Free

CVE-2024-39891 (امتیاز CVSS: 5.3) - آسیب پذیری افشای اطلاعات تاییدیه Twilio

CVE-2012-4792 یک آسیب‌پذیری بدون استفاده از یک دهه در اینترنت اکسپلورر است که می‌تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را از طریق یک سایت ساخته‌شده خاص اجرا کند.

در حال حاضر مشخص نیست که آیا این نقص در معرض تلاش‌های بهره‌برداری مجدد قرار گرفته است یا خیر، اگرچه از آن به عنوان بخشی از حملاتی که شورای روابط خارجی (CFR) و وب‌سایت‌های شرکت Capstone Turbine را در دسامبر 2012 هدف قرار می‌دهند، مورد سوء استفاده قرار گرفت.

از سوی دیگر، CVE-2024-39891 به یک اشکال افشای اطلاعات در یک نقطه پایانی احراز هویت نشده اشاره می کند که می تواند برای "پذیرش درخواستی حاوی یک شماره تلفن و پاسخ با اطلاعاتی در مورد اینکه آیا شماره تلفن در Authy ثبت شده است یا خیر" مورد سوء استفاده قرار گیرد.

در اوایل این ماه، Twilio گفت که این مشکل را در نسخه‌های 25.1.0 (اندروید) و 26.1.0 (iOS) حل کرده است، زیرا عوامل تهدید ناشناس از این نقص برای شناسایی داده‌های مرتبط با حساب‌های Authy استفاده کردند.

CISA در مشاوره ای گفت: "این نوع آسیب پذیری ها حامل های حمله مکرر برای بازیگران سایبری مخرب هستند و خطرات قابل توجهی برای شرکت فدرال ایجاد می کنند."

آژانس‌های شعبه اجرایی غیرنظامی فدرال (FCEB) موظفند آسیب‌پذیری‌های شناسایی‌شده را تا 13 آگوست 2024 اصلاح کنند تا از شبکه‌های خود در برابر تهدیدات فعال محافظت کنند.