最近几天，黑客正在利用多个新的高风险漏洞，这引起了安全专家的警惕，担心这些漏洞将被网络犯罪分子和专业黑客组织利用。 上周，网络安全专家和网络安全和基础设施安全局 (CISA) 等政府机构都强调了影响Apple、VMware、Atlassian、Fortra、Apache等科技巨头的安全漏洞。 周二，CISA回应了Apple 的警告，称 CVE-2024-23222（影响多个版本 iPhone 和 iPad 的漏洞）正被网络犯罪分子利用。 该漏洞是苹果公司在 2024 年宣布的第一个0day漏洞——该公司去年修复了 20 个0day漏洞。该漏洞允许黑客在受害者的设备上执行代码。 “处理恶意制作的网页内容可能会导致任意代码执行。苹果公司已获悉有关该问题可能已被利用的报告.”苹果公司周二表示。 CISA 命令所有联邦民事机构在 2 月 13 日之前修复该漏洞。 该命令发布的同一天，网络安全研究人员对影响 Fortra 的GoAnywhere 文件传输软件的最新漏洞发出了警报，该软件去年成为网络攻击利用的焦点，当时俄罗斯勒索软件团伙使用该工具的另一个漏洞攻击了数十家公司和多国政府机构。 Fortra 在周一发布的公告中表示，CVE-2024-0204 于 12 月被发现，漏洞允许攻击者通过管理门户创建管理员用户帐户，从而使他们能够广泛访问受害者的系统。 该公司敦促客户修补该漏洞，并指出该漏洞的 CVSS 严重性评分为 9.8，表明这是一个高严重性漏洞。 该公司在一份声明中表示，他们“没有关于此 CVE 的野外活跃利用的报告”。 他们还分享了一封 12 月份发送给客户的信，警告该漏洞，并提供有关客户如何解决该问题的详细指南。 Atlassian 和 Apache 攻击 最近有消息称，黑客正在积极攻击影响 Atlassian 和 Apache 产品的两个漏洞。 Greynoise 的研究人员观察到利用 CVE-2023-22527 的尝试急剧增加，该漏洞是 Atlassian 上周宣布的影响 Confluence 数据中心和 Confluence 服务器的漏洞。 Atlassian 表示，该漏洞的最高严重程度为 10，为最高风险等级，Atlassian敦促客户尽快修补该漏洞。 Shadowserver 的专家表示，他们已经看到超过 600 个不同的 IP 地址试图利用暴露在互联网上的 11,000 多个实例。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/oj-sG_XorIQlE5NjUV62lA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 周一，苹果发布了 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器的安全更新，以解决一种在野外被积极利用的零日漏洞。 该漏洞被追踪为 CVE-2024-23222，是一种类型混淆漏洞，黑客可以利用该漏洞在处理恶意构造的 Web 内容时实现任意代码执行。苹果公司表示，通过改进检查已经解决了这个问题。 类型混淆漏洞通常可以被利用来执行越界内存访问，或导致崩溃和任意代码执行。 苹果在一份简短的公告中承认，“我们知道有报告称这个问题可能已被利用”，但没有分享关于攻击性质或利用这一漏洞的黑客的其他具体信息。 更新适用于以下设备和操作系统： iOS 17.3 和 iPadOS 17.3 – iPhone XS 及更高版本，iPad Pro 12.9 英寸第二代及更高版本，iPad Pro 10.5 英寸，iPad Pro 11 英寸第一代及更高版本，iPad Air 第三代及更高版本，iPad 第六代及更高版本，以及 iPad mini 第五代及更高版本 iOS 16.7.5 和 iPadOS 16.7.5 – iPhone 8，iPhone 8 Plus，iPhone X，iPad 第五代，iPad Pro 9.7 英寸，以及 iPad Pro 12.9 英寸第一代 macOS Sonoma 14.3 – 运行 macOS Sonoma 的 Mac macOS Ventura 13.6.4 – 运行 macOS Ventura 的 Mac macOS Monterey 12.7.3 – 运行 macOS Monterey 的 Mac tvOS 17.3 – Apple TV HD 和 Apple TV 4K（所有型号） Safari 17.3 – 运行 macOS Monterey 和 macOS Ventura 的 Mac 这一进展标志着苹果今年第一次修补主动利用的零日漏洞。去年，这家 iPhone 制造商解决了20 个在现实攻击中被利用的零日漏洞。 此外，苹果还将 2023 年 12 月发布的 CVE-2023-42916 和 CVE-2023-42917 的修复措施回溯到旧设备上 ：  iOS 15.8.1 和 iPadOS 15.8.1 – iPhone 6s（所有型号），iPhone 7（所有型号），iPhone SE（第一代），iPad Air 2，iPad mini（第四代）和 iPod touch（第七代） 这一揭露紧随一份报告之后，中国当局透露他们曾利用苹果 AirDrop 功能中已知的先前漏洞，基于彩虹表的技术以帮助执法机构识别发送不当内容的用户。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Varonis 在微软产品中发现了 一个新漏洞，以及多种允许黑客获取用户密码哈希值的攻击方法。 该漏洞编号为 CVE-2023-35636，影响 Outlook 中的日历共享功能，评级为“重要”( CVSS 6.5 )。在它的帮助下，黑客可以向用户发送一封特制的信件，迫使 Outlook 连接到黑客控制的服务器，并向其发送 NTLM v2 哈希值以进行身份验证。 NTLM v2 是一种用于对远程服务器上的用户进行身份验证的协议。NTLM v2 用户的密码哈希对于黑客来说可能很有价值，因为他们可以发起暴力攻击并以明文形式获取密码，或者直接使用哈希进行身份验证。 2023年12月，Microsoft在计划外的安全更新中修复了CVE-2023-35636，但一些攻击方法仍可能允许黑客获取身份验证哈希。 因此，已确定的方法之一是使用开发人员经常使用的 Windows 性能分析器 (WPA) 实用程序。研究人员发现，与 WPA 相关的链接是使用特殊 URI 进行处理的，该 URI 尝试在 Internet 上使用 NTLM v2 进行身份验证，这会暴露 NTLM 哈希值。 此方法还涉及发送一封包含链接的电子邮件，该链接旨在将受害者重定向到黑客控制的站点上，从而触发恶意WPA负载。 另外两种方法使用标准 Windows 文件资源管理器。与 WPA 不同，WPA  不是默认的系统组件，主要仅供软件开发人员使用，文件资源管理器已深度集成到 Windows 中，并被绝大多数用户日常使用。这两种攻击选项都涉及黑客通过电子邮件、社交媒体或其他渠道向目标用户发送恶意链接。 “一旦受害者点击链接，黑客就可以获得哈希值，然后尝试离线破解用户的密码”，瓦罗尼斯解释道。“一旦哈希被破解并获得密码，黑客就可以使用它以用户身份登录组织。” 如上所述，CVE-2023-35636 已于 12 月修复，但其他问题仍然存在。建议企业安装最新的安全更新，并采取额外措施防范网络钓鱼攻击，以免成为犯罪分子的受害者。   转自安全客，原文链接：https://www.anquanke.com/post/id/292815 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，存在一种“显著增加”的网络威胁行为，其通过积极利用 Apache ActiveMQ 中一个现已修复的漏洞，在受感染的主机上部署 Godzilla Web Shell。 “这些 Web Shell 被隐藏在未知的二进制格式中，旨在规避安全和基于签名的扫描器” ，Trustwave 表示。“值得注意的是，尽管二进制文件格式未知，但 ActiveMQ 的 JSP 引擎仍然继续编译和执行 Web Shell。” CVE-2023-46604（CVSS 分数：10.0）是指 Apache ActiveMQ 中的一种严重漏洞，可实现远程代码执行。自 2023 年 10 月底公开披露以来，已有多个对手积极利用该漏洞部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。 在 Trustwave 观察到的最新入侵集合中，易受攻击的实例成为基于 JSP 的 Web Shell 的目标，这些 Web Shell 被植入到 ActiveMQ 安装目录的“admin”文件夹中。 这个名为 Godzilla 的 Web Shell 是一个功能丰富的后门，能够解析传入的 HTTP POST 请求、执行内容，并以 HTTP 响应的形式返回结果。 “这些恶意文件引人注目的地方在于，JSP 代码似乎被隐藏在一种未知类型的二进制中” ，安全研究员 Rodel Mendrez 表示。“这种方法有可能绕过安全措施，在扫描期间避免被安全端点检测到。” 对攻击链的更仔细审查显示，Web Shell 代码在被 Jetty Servlet 引擎执行之前被转换成 Java 代码。 JSP 负载最终允许黑客通过 Godzilla 管理用户界面连接到 Web Shell，并完全控制目标主机，便于执行任意 Shell 命令、查看网络信息以及处理文件管理操作。 强烈建议使用 Apache ActiveMQ 的用户尽快升级到最新版本，以降低潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在过去的一个月里， AI/ML Huntr 漏洞赏金平台的成员在 MLflow、ClearML 和 Hugging Face 等流行解决方案中发现了多个严重漏洞。 MLflow 是一个用于简化 ML 开发的平台，提供一组支持现有 ML 应用程序和库的 API。在 CVSS 评分中，MLflow 中有四个关键漏洞，其中最严重的得分为 10。 其中一个漏洞 CVE-2023-6831 被描述为根源于工件删除的路径遍历错误，该操作在使用前对路径进行规范化，允许攻击者绕过验证检查并删除服务器上的任何文件。 第二个漏洞 CVE-2024-0520 存在于 mlflow.data 模块中，该漏洞可被精心设计的数据集滥用，生成未经清理的文件路径，从而允许攻击者访问信息或覆盖文件，并可能实现远程代码执行 (RCE) ）。 第三个严重漏洞 CVE-2023-6977 被描述为路径验证绕过，可能允许攻击者读取服务器上的敏感文件，而第四个严重漏洞 CVE-2023-6709 可能导致在加载恶意软件时远程执行代码。 MLflow 2.9.2 中解决了所有四个漏洞，还修复了一个高严重性的服务器端请求伪造 (SSRF) 错误，该错误可能允许攻击者访问内部 HTTP(S) 服务器并可能在受害者计算机上实现 RCE。 Hugging Face Transformers 中发现了另一个严重漏洞，它提供了用于构建 ML 应用程序的工具。 该漏洞 CVE-2023-7018 是由于从远程存储库自动加载 vocab.pkl 文件的函数没有实施任何限制，这可能允许攻击者加载恶意文件并实现 RCE。Transformers 版本 4.36 解决了该漏洞。 Huntr 社区的成员还发现 ClearML 中存在高严重性的存储跨站脚本 (XSS) 缺陷，ClearML 是一个用于在统一环境中自动化 ML 实验的端到端平台。 该问题被追踪为 CVE-2023-6778，是在项目描述和报告部分的 Markdown 编辑器组件中发现的，如果将未经过滤的数据传递给该组件，则允许注入恶意 XSS 有效负载，从而可能导致用户帐户泄露。 Protect AI 尚未公开有关严重性 Paddle 命令注入漏洞 (CVE-2024-0521) 的详细信息，该公司表示，所有漏洞均在发布前 45 天报告给项目维护人员。   转自安全客，原文链接：https://www.anquanke.com/post/id/292802 封面来源于网络，如有侵权请联系删除

VMware 警告客户，CVE-2023-34048（2023 年 10 月修补的一个关键 vCenter Server 漏洞）正在被广泛利用。 CVE-2023-34048 被描述为与 DCERPC 协议实施相关的越界写入问题。它可以允许具有 vCenter Server 网络访问权限的黑客远程执行任意代码。 这一问题被认为非常严重，是由趋势科技零日计划的 Grigory Dorodnov 发现的。鉴于其严重性，即使该产品的版本已达到生命周期终止（EoL）状态，VMware 还是决定了在 10 月份发布相应的补丁。 VMware 现已更新其初始安全公告，通知客户其已确认 CVE-2023-34048 已被利用。 截至撰写本文时，似乎还没有关于利用 vCenter Server 漏洞进行攻击的信息。 公开的 PoC 漏洞似乎并不存在，但自 12 月初以来，技术细节已经被公开。 根据 Shadowserver Foundation 的数据，目前有数百个暴露于互联网的 VMware vCenter Server 实例可能存在漏洞。 VMware 产品成为黑客攻击目标的情况并不少见。美国安全机构 CISA 维护的已知被利用漏洞目录目前包括 21 个 VMware 产品漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292805 封面来源于网络，如有侵权请联系删除

在开源 TensorFlow 机器学习框架中发现的持续集成与持续交付（CI/CD）配置错误，可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架，于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛用于自动化工作任务和开发新系统，其在分布式训练支持、可扩展的生产和部署选项、多种设备（比如安卓）支持方面备受好评。 Praetorian 的研究员 Adnan Khan 和 John Stawinski 在本周发布的一份报告中表示，这些配置错误可能被黑客利用来“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏”。 通过利用这些漏洞，黑客可将恶意版本上传到 GitHub 仓库，并获得自托管 GitHub 运行器（runner）上的远程代码执行权限，甚至检索 tensorflow-jenkins 用户的 GitHub 个人访问令牌（PAT）。 TensorFlow 使用 GitHub Actions 自动化软件构建、测试和部署流程。运行器指的是执行 GitHub Actions 工作流中任务的机器，可以自托管，也可以由 GitHub 托管。 GitHub 在其文档中写道，“建议用户仅在私有仓库中使用自托管运行器，因为公共仓库的分支可能通过创建执行危险代码的工作流拉取请求，在您的自托管运行器机器上运行潜在危险的代码。” 换言之，这允许任何贡献者通过提交恶意拉取请求，在自托管运行器上执行任意代码。 然而，这并不会对 GitHub 托管的运行器构成任何安全问题，因为每个运行器都是短暂的，并且是一个干净、隔离的虚拟机，在任务执行结束后就会被销毁。 Praetorian 表示，它能够识别在自托管运行器上执行的 TensorFlow 工作流，随后发现以前的贡献者提交的分支拉取请求自动触发了相应的 CI/CD 工作流，且无需批准。 因此，一个想要对目标仓库进行木马化的黑客是这样操作的，他会修正一个拼写错误或进行一个小但合法的代码更改，为此创建一个拉取请求，然后等待拉取请求被合并，以成为一个贡献者。这将使他们能够在创建恶意拉取请求时执行代码，而不会引起任何警告。 对工作流日志的进一步检查表明，自托管运行器不仅是非短暂性的（从而为持久性打开了大门），而且与工作流相关的 GITHUB_TOKEN 也附带了广泛的写入权限。 研究人员指出“因为 GITHUB_TOKEN 拥有 contents:write 权限，它可以上传版本到 https://github[.]com/tensorflow/tensorflow/releases/，黑客如果破坏这些 GITHUB_TOKEN，就可以在发布资产中添加他们自己的文件。” 最重要的是， contents:write 权限可以武器化，通过直接向 TensorFlow 仓库推送代码，秘密地将恶意代码注入到一个特性分支，并将其合并到主分支。 不仅如此，黑客还可以窃取发布工作流中使用的 AWS_PYPI_ACCOUNT_TOKEN，以向 Python 包索引（PyPI）注册表进行身份验证，并上传恶意 Python .whl 文件，以便有效地污染包。 研究人员说，“黑客还可以利用 GITHUB_TOKEN 的权限来危及 JENKINS_TOKEN 仓库密钥，尽管这个密钥并未在自托管运行器上运行的工作流中使用。” 在 2023 年 8 月 1 日进行了负责任的披露后，项目维护人员于 2023 年 12 月 20 日解决了这些漏洞，要求批准从所有 fork pull 请求提交的工作流，包括以前的贡献者提交的工作流，并将在自托管运行器上运行的工作流的 GITHUB_TOKEN 权限更改为只读。 “随着越来越多的组织自动化他们的 CI/CD 流程，类似的 CI/CD 攻击正在增加。”研究人员说道，“AI/ML 公司尤其脆弱，因为他们的许多工作流需要大量的计算能力，而 GitHub 托管的运行器是无法提供的，因此自托管运行器很普遍。” 两位研究人员都透露，几个公共 GitHub 存储库，包括与 Chia Networks，Microsoft DeepSpeed 和 PyTorch 相关的存储库，容易受到通过自托管 GitHub Actions 运行器进行恶意代码注入的影响。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/390133.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。 美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。 TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。 据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 noreplyeicher@ttibi.co.in 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。 研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。 “noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。 在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。 此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。 Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。 据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。   消息来源：securityweek，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Quarkslab 研究人员发现了 9 个漏洞，统称为PixieFail。这些漏洞影响了 UEFI 的开源参考实现 EDK II 的 IPv6 网络协议栈。 统一可扩展固件接口（UEFI）是一项规范，定义了用于引导计算机硬件并与操作系统进行交互的平台固件的架构。实现该规范的固件示例包括 AMI Aptio、Phoenix SecureCore、TianoCore EDK II、InsydeH2O 等。 研究人员在分析 Tianocore 的 EDK II PXE 实现 NetworkPkg 时发现了这些漏洞。这些漏洞的严重程度和潜在利用可能取决于特定固件构建和默认的 PXE 引导配置。 PixieFail 漏洞可被利用以实现远程代码执行和敏感信息泄露，并执行拒绝服务（DoS）和网络会话劫持攻击。 NetworkPkg 是一组在 UEFI 环境中实现网络功能的模块。UEFI 中的 NetworkPkg 可能包括在预引导阶段初始化和管理与网络相关功能的模块。这可能涉及用于与网络设备交互的协议，如用于网络引导的 Preboot eXecution Environment（PXE）协议。 “为了从网络引导，客户端系统必须能够定位、下载和执行设置、配置和运行操作系统的代码。这通常是通过几个阶段完成的，首先通过简单协议（如TFTP）从网络服务器下载一个最小程序，然后下载并运行第二个引导阶段或完整的操作系统映像。”通告中写道。 “为了定位这个最小程序，称为网络引导程序（NBP），PXE 客户端依赖 DHCP 服务器来获取配置参数，以用有效的 IP 地址配置其网络接口，并接收要查询 NBP 文件的启动服务器列表。” “由于 DHCP 服务器必须提供这样的列表和其他特殊参数，因此 PXE 客户端必须发送一些强制性的与 PXE 相关的 DHCP 选项，且 DHCP 服务器必须是‘PXE启用’的，即配置适当以识别 PXE 客户端选项并回复正确的 DHCP 服务器选项。” 以下是专家发现的 PixieFAIL 漏洞列表： CVE-2023-45229 – 处理 DHCPv6 Advertise 消息中的 IA_NA/IA_TA 选项时出现整数下溢 CVE-2023-45230 – DHCPv6 客户端中通过长服务器 ID 选项发生缓冲区溢出 CVE-2023-45231 – 处理带有截断选项的 ND 重定向消息时出现越界读取 CVE-2023-45232 – 解析目标选项标头中的未知选项时出现无限循环 CVE-2023-45233 – 解析目标选项标头中的 PadN 选项时出现无限循环 CVE-2023-45234 – 处理 DHCPv6 通告消息中的 DNS 服务器选项时缓冲区溢出 CVE-2023-45235 – 从 DHCPv6 代理播发消息处理服务器 ID 选项时出现缓冲区溢出 CVE-2023-45236 – 可预测的 TCP 初始序列号 CVE-2023-45237 – 使用弱伪随机数生成器 CERT 协调中心 （CERT/CC） 也发布了有关这些漏洞的公告。 “本地网络中的攻击者（在某些情况下是远程的）可以利用这些漏洞来执行远程代码、发起 DoS 攻击、进行 DNS 缓存中毒或提取敏感信息。” CERT/CC 还发布了漏洞说明，其中包含受影响供应商的完整列表以及缓解这些问题的指南。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Citrix 强烈建议用户立即修补连接互联网的 Netscaler ADC 和 Netscaler Gateway 设备，以防止与两个新的主动利用的零日漏洞相关的攻击。 这些安全漏洞分别标记为 CVE-2023-6548 和 CVE-2023-6549 ，它们影响 Netscaler 管理界面，并使运行旧版软件的实例容易受到远程代码执行攻击和拒绝服务攻击。 要执行代码，攻击者需要访问低权限帐户以及可访问管理界面的 NSIP、CLIP 或 SNIP。设备必须配置为网关（虚拟 VPN 服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器，否则容易受到拒绝服务攻击。 据该公司称，只有 Netscaler 客户管理的设备才会受到这些漏洞的影响。Citrix 云服务和 Citrix 本身管理的自适应身份验证不受影响。 受这些漏洞影响的 NetScaler 产品版本列表包括： NetScaler ADC 和 NetScaler Gateway 从 14.1 到 14.1-12.35 NetScaler ADC 和 NetScaler Gateway 从 13.1 到 13.1-51.15 NetScaler ADC 和 NetScaler Gateway 从 13.0 到 13.0-92.21 NetScaler ADC 13.1-FIPS 高达 13.1-37.176 NetScaler ADC 12.1-FIPS 高达 12.1-55.302 NetScaler ADC 12.1-NDcPP 至 12.1-55.302 根据威胁监控平台 Shadowserver 的数据，现在大约有 1,500 个 Netscaler 管理界面可以通过互联网访问。 在最近的安全公告中，Citrix 敦促管理员立即更新其 NetScaler 设备以防止潜在的攻击。 该公司警告说，已经观察到在没有适当更新的设备上利用这些漏洞的情况，因此建议 NetScaler ADC 和 NetScaler Gateway 客户尽快安装适当的更新版本。 还建议那些仍在使用已停产的 NetScaler ADC 和 NetScaler Gateway 软件版本 12.1 的用户升级到仍受支持的版本。 无法立即安装最新安全更新的管理员应阻止受影响实例的网络流量，并确保无法从 Internet 访问它们。Citrix 还建议将设备管理界面的网络流量与正常网络流量在物理或逻辑上分开。 另外，公司建议原则上不要将管理界面暴露在互联网上。通过限制此类访问权限，可以显著降低利用此问题的风险。 另一个关键的 Netscaler 漏洞于 10 月份进行了修补，编号为 CVE-2023-4966 （后称为 Citrix Bleed），自 8 月份以来也被各种威胁团体利用，以危害世界各地的政府组织和大型科技公司的网络，例如波音。 医疗保健网络安全协调中心 ( HC3 ) 还发布了全行业警报，敦促医疗保健组织确保其 NetScaler ADC 和 NetScaler Gateway 实例免受不断增加的勒索软件攻击的威胁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292728 封面来源于网络，如有侵权请联系删除