挪威国家安全局 (NSM) 负责人周一警告称，利用最近披露的两个思科漏洞已导致该国的“重要企业”遭到黑客攻击。 NSM 负责人 Sofie Nystrøm在接受挪威报纸Dagens Næringsliv采访时表示，她的机构正在协调国家应对措施，以应对影响 Cisco IOS XE 的两个零日漏洞。 尼斯特罗姆拒绝透露受影响的企业名称，只是将其描述为重要的企业并表示其中一些企业提供社区服务。她的机构没有提供该国有多少组织遭到黑客攻击的数量，也没有提供其中是否有公共部门的数据。 尼斯特罗姆表示，情况“非常严重”，然后称这次攻击比今年夏天影响挪威政府支持机构 DSS的事件“更严重” ，那次事件导致黑客访问了十几个政府部门的数据。 在最近的两份安全公告（首次发布于 10 月 16 日）中，网络技术巨头思科透露，攻击者正在积极利用两个漏洞（CVE-2023-20198 和 CVE-2023-20273），其中第一个漏洞在10/10 的通用漏洞评分系统。 思科表示，早在 9 月 28 日就发现了利用这些漏洞的攻击。该公司于 10 月 22 日（星期日）提供了初步补丁来修复该问题。 该公司的 Talos Intelligence 团队表示，他们观察到威胁行为者使用 CVE-2023-20198 访问客户的系统，并随后部署植入程序。在思科首次发布安全咨询后的几天里，多家安全公司表示，他们发现多达 40,000 台在线设备似乎受到了威胁。 在这种识别植入程序的初始技术传播之后，攻击者随后更新了其恶意代码以避免被检测到，并且外部可观察到的受感染系统的数量也随之下降。 尽管 Talos 团队表示，植入程序在设备重新启动后无法持续存在，但它警告说，攻击者还创建了具有管理员权限的新本地用户帐户。安全团队警告说：“组织应该在设备上寻找原因不明或新创建的用户，作为与此威胁相关的潜在恶意活动的证据。” NSM 副主任 Gullik Gundersen 表示，NSM 已经意识到该漏洞“有一段时间了”。 Gundersen 表示：“由于该漏洞的严重性被评为严重，因此利用该漏洞造成的损害范围很大。攻击者可以创建一个用户来实现对受影响系统的完全控制。” 他表示，使用 Cisco IOS XE 的企业应立即更新其系统。 冈德森说：“在国外和挪威，已经出现了积极利用该漏洞的案例。” “这仍然是一个持续的事件，NSM 正在努力绘制受影响企业的地图。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290974 封面来源于网络，如有侵权请联系删除

该漏洞允许攻击者在未进行身份验证的情况下远程获得受影响设备的全部管理员权限。 思科要求客户立即在其所有面向互联网的 IOS XE 设备上禁用 HTTPS 服务器功能，以防止攻击者利用操作系统 Web 用户界面中的一个关键零日漏洞。 思科 IOS XE 是思科用于下一代企业网络设备的操作系统。 该漏洞被命名为 CVE-2023-20198，影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。思科将该漏洞定义为一个权限升级漏洞，可以完全接管设备。思科将该漏洞在 CVSS 评级中定为 10 分（满分 10 分）。 CVE-2023-20198： 最高严重性漏洞 思科在 10 月 16 日关于这个新的零日漏洞的公告中说：该漏洞允许未经认证的远程攻击者在受影响的系统上创建一个权限级别为 15 的账户。然后，攻击者可以使用该账户获得对受影响系统的控制权。思科 IOS 系统的权限级别 15 基本上意味着可以完全访问所有命令，包括重载系统和更改配置的命令。 一个未知的攻击者一直在利用这个漏洞，访问思科面向互联网的 IOS XE 设备，并植入一个 Lua 语言，以便在受影响的系统上执行任意命令。为了植入该漏洞，攻击者还一直在利用另一个漏洞 ——CVE-2021-1435 ，该漏洞是 IOS XE 的 Web UI 组件中的中等严重性命令注入漏洞，思科已于 2021 年修补了该漏洞。思科塔洛斯（Cisco Talos）的研究人员在一份单独的报告中说，即使是在已经对 CVE-2021-1435 进行了全面修复的设备上，攻击者也能成功地进行植入。 思科表示，它是在 9 月 28 日应对一起涉及客户设备异常行为的事件时首次获悉这个新漏洞的。该公司随后的调查显示，与该漏洞有关的恶意活动实际上可能早在 9 月 18 日就开始了。第一起事件的最终结果是，攻击者利用该漏洞从一个可疑的 IP 地址创建了一个具有管理员权限的本地账户。 针对思科的恶意活动集群 10 月 12 日，思科的 Talos 事件响应团队发现了另一个与该漏洞有关的恶意活动集群。与第一起事件一样，攻击者最初从一个可疑的 IP 地址创建了一个本地账户。但这一次，威胁行为者又采取了几种恶意行为，包括进行任意命令注入。 思科塔洛斯公司表示：要使植入活动生效，必须重新启动web服务器。思科指出：至少在一个观察到的案例中，服务器没有重新启动，因此植入程序尽管已经安装，却从未激活。植入本身并不是持久性的，这意味着企业可以通过设备重启来摆脱它。 但是，攻击者通过 CVE-2023-20198 创建的本地账户是持久性的，即使在设备重启后，攻击者也能继续获得受影响系统的管理员级访问权限。研究人员敦促企业注意 IOS XE 设备上的新用户或未知用户，这是攻击者利用该漏洞的潜在证据。同时，思科塔洛斯团队还提供了一个命令程序，企业可使用该命令确定受影响设备上是否存在该植入。 思科公司表示：我们强烈建议客户在所有面向互联网的系统上禁用HTTP服务器功能。同时建议可能受该活动影响的企业、组织立即执行思科产品安全事故响应小组（PSIRT）公告中的指导。 对于攻击者来说，思科等公司的网络技术上的零日漏洞（以及任何可获得管理员级权限的漏洞）尤其有价值。正如美国网络安全和基础设施安全局（CISA）和许多其他机构所指出的，网络路由器交换机、防火墙、负载平衡器和其他类似技术都是理想的攻击目标，因为大部分或所有流量都必须流经它们。   转自Freebuf，原文链接：https://www.freebuf.com/news/380882.html 封面来源于网络，如有侵权请联系删除

思科宣布以每股157美元的价格全现金收购网络安全公司Splunk。 人工智能技术快速崛起是促成本次收购的主要原因之一。 这是思科公司有史以来最大的一笔收购，也是该公司向软件和网络安全领域转型突围的标志性事件。 本周四晚间，据彭博社多家美国媒体报道，思科公司（CISCO）宣布以每股157美元、总价约280亿美元的现金交易收购网络安全软件公司Splunk，这是思科公司有史以来最大一笔收购，同时也是IT行业2023年规模最大的收购案。Splunk的股价在公告后上涨了21%，而思科的股价则下跌了4%。 Splunk是知名的应用性能管理（APM）和网络安全分析与响应平台提供商，在安全信息和事件管理（SIEM）解决方案市场的主要竞争对手是同处Gartner领导者象限的微软Azure Sentinel、IBM QRadar、Exabeam和Securonix等。但Splunk的独特之处在于其强大的数据处理和分析能力，以及其对大数据的原生支持。这使得Splunk在处理大规模、复杂的数据集时具有明显的优势，特别是在今天数据量呈指数级增长的网络环境中。在此基础上，Splunk近年来的SIEM产品策略是将威胁情报融入SecOps：即将威胁情报、基于风险的警报和行为分析融合在一起，大幅减少客户的警报量，缓解警报疲劳问题。 Splunk还通过收购和合作策略，进一步加强了其在网络安全领域的地位。例如，通过收购像Phantom这样的安全自动化和响应（SOAR）平台，Splunk进一步扩展了其在威胁检测和响应领域的能力。 提高云服务的营收占比是Splunk近年来推动营收增长的主要战略之一。Splunk2024财年二季度收入报告显示，云服务已经占其2023年一季度营收的半数（49%），同比增长29%。 与蒸蒸日上的Splunk相比，思科（全球最大的计算机网络设备制造商）的业务转型和股价双双陷入泥潭。 思科今年的股价表现远逊于纳斯达克指数，仅上涨了12%，后者涨幅高达27%。如果将时间跨度拉长到五年，思科的股价表现更加糟糕，五年内仅上涨10%，远逊于纳斯达克指数的66%。 随着公共云计算越来越多地侵蚀思科传统的后端业务，思科公司亟需寻找新的、丰厚的收入来源，网络安全一直是其最大的赌注。 思科的核心业务在截至7月29日的财年中收入增长了22%，达到291亿美元，而安全部门的销售额仅增长了4%，达到39亿美元。 为了进一步加快向软件和网络安全的业务转型，推动业务收入增长，思科公司近年来大力强化其网络安全业务并展开了一系列收购。在2022财年，Cisco将其核心交换和路由业务从“基础设施平台”更名为“安全、敏捷网络”，专注于将安全性内置到网络设备中。思科还成立了一个名为“端到端安全”的独立运作部门，专门负责安全产品。 重组业务架构的同时，思科马不停蹄地“采购”网络安全公司。仅在今年思科就收购了四家网络安全公司，分别是威胁检测平台Armorblox、身份管理公司Oort以及云安全公司Valtix和Lightspin。 对于此次思科斥巨资收购Splunk，Gartner副总裁分析师Gregg Siegfried认为，生成式AI最近的崛起可能是此次收购的催化剂：“生成式AI是本次收购的一个隐藏主题，我确信两家公司都有很多工作要做。思科可以通过利用Splunk的产品组合来快速启动人工智能产品。” Siegfried还指出，由于思科和Splunk的业务重合度不高，因此监管部门对该交易的审批预计不会像VMware与Broadcom的交易出现严重顿挫。 思科首席执行官Chuck Robbins在评价对Splunk的收购时也强调了人工智能的重要性，并表示将使用Splunk的AI能力来保护网络。“我们的综合能力将推动基于下一代AI的安全技术和可观察性，”Robbins在一份声明中说。 该交易预计将在2024年第三季度完成，思科表示交易有望在第一年提高毛利率，在第二年提高非美国通用会计准则（non-GAAP）盈利。 这笔收购价格相当于思科市值的约13%，这对于思科这样在历史上避免大规模交易的公司来说是一个“高额赌注”。在Splunk之前，Cisco最大的一笔交易是2006年以69亿美元收购有线电视机顶盒制造商ScientificAtlanta。 在CNBC的一档电视节目中，Robbins透露他预计思科和Splunk之间的组织协同效应将在12到18个月内变得明显。在与分析师的电话会议中，Robbins宣称：“思科将成为全球最大的软件公司之一。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/mJzVwAbu8oKkFAvNy52mNg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台出现了严重漏洞，可能允许远程攻击者伪造凭证并绕过身份验证。思科 BroadWorks 是面向企业和消费者的云通信服务平台，漏洞由思科安全工程师内部发现，编号为 CVE-2023-20238，CVSS 评分达到了最高级别的10分。 通过利用该漏洞，攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。受影响的思科应用交付平台和 BroadWorks Xtended 服务平台功能包括认证服务、BW呼叫中心、自定义媒体文件检索、版主客户端应用程序等。 除上述提到的两个组件之外，CVE-2023-20238 不会影响任何其他 BroadWorks 组件，因此其他产品的用户无需采取任何操作。 思科称，攻击者利用该漏洞后所获得的能力取决于伪造帐户的权限级别，“管理员”级别将是最糟糕的情况。然而，利用该缺陷的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少利用 CVE-2023-20238 的攻击者数量，但这并不能缓解问题，因此风险仍然很严重。 思科没有针对此缺陷提供任何解决方法，因此建议的解决方案是针对 23.0 分支版本的用户更新到 AP.platform.23.0.1075.ap385341，针对独立版本的用户更新到版本 2023.06_1.333 或 2023.07_1.332 （RI）版。 CVE-2023-20238 也会影响 22.0 分支的用户，但思科不会发布该版本的安全更新，因此建议旧版本用户的响应是迁移到固定版本。 目前，还没有关于 CVE-2023-20238 被主动利用的报告，但系统管理员应 尽快应用可用的更新。     转自Freebuf，原文链接:https://www.freebuf.com/articles/377490.html 封面来源于网络，如有侵权请联系删除

与应用安全相比，产品安全的“全域安全”方法变得越来越受欢迎。 无论是所谓的“安全左移”、“内生安全”还是“设计安全”，当今最具前瞻性思维的企业都明白，需要站在业务和产品的整个生命周期的高度考虑安全性问题，而不是仅仅局限于单个应用程序。为此，越来越多的企业正在通过产品安全团队和首席产品安全官（CPSO）来推动这一变革。 产品安全远远超出应用安全以软件测试为主的范畴，扩展到安全意识宣传、业务团队协作、设计思维、威胁建模、架构规划甚至企业风险管理领域。Appdome首席产品官ChrisRoeckl指出：“通过积极参与产品开发的每个阶段，产品安全团队能将安全要素嵌入到软件的设计、架构、编码、测试以及生产环境发布；这种主动方法是一种良性循环，可以最大限度地降低漏洞风险，并确保网络安全成为企业产品不可或缺的重要元素。” 如果方法得当，产品安全将成为CISO兑现DevSecOps倡导者多年来所作承诺的重要杠杆。 应用安全和产品安全有何不同？ 虽然应用安全和产品安全都有一个共同的目标——帮助企业发布和维护安全的软件，但二者在实现这一目标中所扮演的角色是不同的。应用安全真正关注的是测试、验证和工具链，而产品安全则涵盖整个SDLC的业务规则，包括软件开发中薄弱的“人的因素”。 此外，虽然应用安全团队会深入研究并强化每个应用程序，但产品安全能从全局、端到端角度审视有助于确保产品的“全域安全”。换而言之，产品安全是应用安全的延伸。应用安全专注于保护单个软件应用程序的代码和功能，而产品安全则对产品进行整体审视，考虑的维度和场景（环境）更多，包括各组件之间的通信可能存在的潜在攻击媒介。 简而言之，产品安全需要考虑的环境要素包括大量应用程序、硬件组件和相关服务，以及所有这些要素部署在一起时的安全状况。 对于有些企业来说，产品安全可能更多关注的是外部客户，但也有企业认为后端财务或人力资源等内部系统和项目也属于产品安全保护的范围。无论哪种方式，产品安全的前景都更加广阔和全面，软件开发公司EPAMSystems的首席信息安全官SamRehman认为：“产品安全的范围更广，包括运营和技术控制、整体环境、客户身份以及检测和响应服务中潜在问题的机制。” 黑莓产品安全副总裁ChristineGadsby用一个形象的比喻来帮助理解应用安全和产品安全的区别：如果将应用程序比喻为蛋糕，那么应用安全就是在将一块蛋糕提供给某人之前的俺安全检查，以确保蛋糕看起来安全并且没有污染物。产品安全则是指改进面包店制作蛋糕的方式及其使用的工具，以确保每个蛋糕都是安全且味道鲜美的。“产品安全更多的是一种‘全局’方法——从原料到成品的整个烘焙过程的每一步都采取正确的行动和流程，以确保蛋糕的成分稳定，风味能够满足客户的要求。 产品安全正在迅速崛起 产品安全（人员）进入企业组织结构图的事实并不是对传统应用安全测试的否定。事实上，越来越多的企业技术负责人认识到应用程序并非在真空中运行，在应用安全之外，企业还需要一个产品安全团队来帮助观察各应用程序之间安全差距。产品安全团队的成员还充当安全宣贯者，帮助将安全基础知识灌输到开发流程和“软件工厂”中。 API安全测试公司StackHawk的联合创始人兼首席安全官ScottGerlach表示，产品安全的出现类似于DevOps运动早期引入的站点可靠性工程：“随着软件交付速度越来越快，从开始到交付的整个过程中都需要将可靠性融入到产品中。如今，应用安全团队在开发过程中与软件的交互通常很少，而产品安全团队则能参与到整个产品生命周期中，从产品启动到发布进行整合，可以实现更快、更安全的产品交付周期，让安全尽早融入产品。” 产品安全也不是应用安全的替代品。EPAM的Rehman认为，在协调良好的产品安全框架内，应用安全在保护软件安全方面将继续发挥重要作用：“产品安全依赖应用安全来减少和修复应用程序中的漏洞，以此为基础，其他产品安全措施才能确保高标准的产品安全。” 产品安全可以促进安全文化 产品安全在实施安全设计原则中发挥着关键作用。Rehman表示，产品安全团队全面参与产品或服务的设计阶段，这种参与延伸到产品策略和控制，而这些策略和控制会深入根植到到产品的架构和功能中。 帮助定义产品策略只是开始，因为产品安全是工程和开发、业务利益相关者和安全领导之间协作的催化剂。企业经常让产品安全团队充当变革推动者，在企业范围推动难以捉摸但又至关重要的安全文化。 黑莓产品安全副总裁ChristineGadsby表示：“产品安全团队可以帮助企业创建一种安全意识文化，让每个人都了解并通过定期交流最新安全知识、成功经验和挑战来提高员工日常工作中的安全意识。产品安全团队可以制定明确的指导方针和标准，提供资源来教育员工最佳安全实践，并与开发团队合作将安全性集成到软件开发生命周期中。” 虽然产品安全做了相当多的宣传和政策制订工作，但优秀的产品安全团队不满足于提（安全）要求，SynopsysIntegrityGroup副首席安全顾问JamieBoote表示，产品安全团队还应该帮助减少（安全与业务的）摩擦。 一种可能阻碍企业安全文化的摩擦是认知摩擦，即理解和解决安全问题所需的脑力劳动，产品安全团队可以通过提供培训、可重用的解决方案以及其他团队可以轻松适应和使用的安全设计组件来减少开发人员、架构师、工程师和其他利益相关者所经历的认知摩擦。” 谁来负责产品安全？ 企业需要在产品安全团队中安排合适的人选并建立相应的汇报机制来推动变革。优秀的产品安全专业人员需要同时具备熟练的技术和软技能，以便推动其他团队的协作，不善言辞的技术大咖显然并非理想人选。同样，产品安全团队还需要一位对业务和工程都有深刻理解的负责人。Rehman表示：“为了推动有效的产品安全，企业必须任命一位同时具备扎实的产品知识和深厚的安全专业知识的人员。” 根据不同的企业需求和文化，产品安全团队的汇报对象会有很大差异。如果产品安全团队是围绕产品开发搭建的，那么他们可能会嵌入到工程或产品部门中。产品安全团队最常见的直接汇报渠道通常是CISO、CTO、CIO、副总裁或安全总监。但也有一些团队可能会根据监管或法律风险向法律或合规部门报告。 Rehman表示，“如果安全安全团队技术能出色且稳健，建议直接向CISO报告，确保产品安全工作与公司安全战略保持一致，并确保在所有产品和服务中始终如一地实施安全措施。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/-VcNPQgZgO1FXJKHZfOCXA 封面来源于网络，如有侵权请联系删除

最新消息，思科修复了其产品中的多个缺陷，其中包括 NX-OS 和 FXOS 软件中的三个高严重性缺陷。攻击者可以利用这三个问题导致拒绝服务 (DoS) 情况。 以下是供应商在2023 年 8 月 23 日发布的半年度 FXOS 和 NX-OS 软件安全咨询捆绑出版物中解决的缺陷列表。 这家 IT 巨头会在每年 2 月和 8 月的第四个星期三发布 FXOS 和 NX-OS 软件安全公告捆绑包。 最严重的问题被追踪为 CVE-2023-20200（CVSS 评分 7.7），是存在于 Firepower 4100 系列和 Firepower 9300 安全设备的 Cisco FXOS 软件以及 Cisco 的简单网络管理协议 (SNMP) 服务中的 DoS 错误。UCS 6300 系列结构互连。 经过身份验证的远程攻击者可以利用该缺陷在易受攻击的设备上造成拒绝服务 (DoS) 情况。 该公司发布的公告：该漏洞是由于对特定 SNMP 请求的处理不当造成的。攻击者可以通过向受影响的设备发送精心设计的 SNMP 请求来利用此漏洞。成功利用该漏洞可能会让攻击者导致受影响的设备重新加载，从而导致 DoS 情况。此漏洞影响所有受支持的 SNMP 版本。要通过 SNMPv2c 或更早版本利用此漏洞，攻击者必须知道受影响设备上配置的 SNMP 社区字符串。要通过 SNMPv3 利用此漏洞，攻击者必须拥有在受影响设备上配置的 SNMP 用户的有效凭据。 第二个高严重性缺陷为CVE-2023-20169（CVSS 评分 7.4），是影响 Nexus 3000 和 9000 系列交换机的 DoS 问题。该缺陷是由于解析入口 IS-IS 数据包时输入验证不足造成的。威胁参与者可以通过向受影响的设备发送精心设计的 IS-IS 数据包来触发该问题 第三个高严重性缺陷为CVE-2023-20168（CVSS 评分 7.1），影响 NX-OS 软件的 TACACS+ 和 RADIUS 远程身份验证。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Q-g2wL8D7POWG4lpwkyBuQ 封面来源于网络，如有侵权请联系删除

最近，有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标，入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件，该组织后来增加了一个Linux加密器，以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用，在用户和企业网络之间提供安全、加密的数据传输，通常供远程工作的员工使用。 据报道，Akira经常利用被攻破的思科 VPN 账户入侵企业网络，而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况，当时研究人员指出，勒索软件团伙使用 “单因素身份验证的 VPN 访问 “入侵了一个网络。 一个名为 “Aura “的事件响应者在 Twitter 上分享了关于入侵活动的更多信息，介绍了他们是如何应对多个 Akira 事件的，这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与BleepingComputer 的对话中，Aura 表示，由于思科 ASA 缺乏日志记录，所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据，还是在暗网市场上购买的。 SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法，报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞，在没有 MFA 的情况下绕过了身份验证。 SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据，并在至少 8 个案例中观察到了思科 VPN 相关特征，表明这是勒索软件团伙持续攻击策略的一部分。 在八起 “Akira “攻击中发现思科VPN特征  图源：SentinelOne SentinelOne 远程访问 RustDesk 此外，SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络，这是已知的第一个滥用该软件的勒索软件组织。 由于 RustDesk 是一个合法工具，不会引起任何警报，因此它可以隐蔽地远程访问被入侵的计算机。 使用 RustDesk 带来的好处包括： 可在 Windows、macOS 和 Linux 上跨平台运行，覆盖 Akira 的全部目标范围 P2P 连接经过加密，因此不太可能被网络流量监控工具标记 支持文件传输，有助于数据外渗，从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底，Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁，Avast 的工具只能帮助那些旧版本的受害者。     转自Freebuf，原文链接:https://www.freebuf.com/news/375848.html 封面来源于网络，如有侵权请联系删除

近日，思科发布安全报告称，已经解决了一个关键的未经认证的RESTAPI访问漏洞，漏洞编号CV-2023-20214(cvss得分9.1)。该漏洞会影响思科SDS-WAN管理软件，允许攻击者发起远程攻击，并且可以获得设备的读写权限或限制写入权限。 SD-WAN是近几年推出的新方案，正在成为未来的发展趋势之一。SD-WAN，即软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，旨在帮助用户降低广域网的开支和提高网络连接灵活性。 思科安全公告称，该漏洞是由于使用其他API特性时请求验证不足。攻击者可以通过向受影响的SD-WAN管理设备发送精心制作的API请求来利用这个漏洞，并从设备中获取敏感信息。 思科进一步强调，该漏洞安全性缺陷只会影响其他API，不会影响基于网络的管理界面或CLI。受影响的SD-WAN管理版本如下： v20.6.3.3 – fixed with the release v20.6.3.4 v20.6.4 – fixed with the release v20.6.4.2 v20.6.5 – fixed with the release v20.6.5.5 v20.9 – fixed with the release v20.9.3.2 v20.10 – fixed with the release v20.10.1.2 v20.11 – fixed with the release v20.11.1.2 从思科发布的安全报告可以得知，SD-WAN管理版本20.7和20.8也会遭受影响，对于这些版本的更新，思考建议用户迁移至固定版本。 思科建议企业网络管理员通过以下方式减少攻击面: 使用访问控制列表(ACLS)限制对SD-WAN管理实例的访问； 使用API键访问API； 检查日志，以检测访问其他API的尝试。     转自Freebuf，原文链接：https://www.freebuf.com/news/372376.html 封面来源于网络，如有侵权请联系删除

VMware已经发布了安全更新，以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。 这三个漏洞中最关键的是一个被追踪为CVE-2023-20887的命令注入漏洞（CVSS评分：9.8），它可以让具有网络访问权限的恶意行为者实现远程代码执行。 同样被VMware修补的还有另一个反序列化漏洞（CVE-2023-20888），在CVSS评分系统中被评为9.1分，最高分是10分。 该公司在一份公告中说：拥有对VMware Aria Operations for Networks的网络访问权的的恶意行为者能够进行反序列化攻击，导致远程代码执行。 第三个安全漏洞是一个高严重度的信息披露漏洞（CVE-2023-20889，CVSS评分：8.8），可以允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问。 这三个影响VMware Aria Operations Networks 6.x版本的漏洞已在以下版本中得到修复： 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9和6.10。请及时更新。 在发出警报的同时，思科还对其Expressway系列和网真视频通信服务器（VCS）中的一个关键漏洞进行了修复，该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。 思科表示，这个特权升级漏洞（CVE-2023-20105，CVSS评分：9.6）源于对密码更改请求的不规范处理，从而允许攻击者改变系统上任何用户的密码，包括管理读写用户，然后冒充该用户。 同一产品中的第二个高危漏洞（CVE-2023-20192，CVSS评分：8.4）可以允许一个经过验证的本地攻击者执行命令和修改系统配置参数。 作为CVE-2023-20192的解决方法，思科建议用户禁止只读用户的CLI访问。目前这两个漏洞已分别在VCS 14.2.1和14.3.0版本中得到解决。 虽然没有证据表明上述任何漏洞在野外被滥用，但仍强烈建议尽快更新到安全的版本以减少潜在风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368976.html 封面来源于网络，如有侵权请联系删除

APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织，据美国和英国政府称，黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中，美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞，目的是针对欧洲组织和美国政府机构。 咨询报告说，黑客还入侵了”大约250名乌克兰受害者”，这些机构没有透露姓名。APT28也被称为Fancy Bear，以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。 根据联合公告，黑客利用了思科在2017年修补的一个可远程利用的漏洞，部署了一个被称为”美洲豹牙”的定制恶意软件，该软件旨在感染未打补丁的路由器。 为了安装该恶意软件，威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。 SNMP，即简单网络管理协议，允许网络管理员远程访问和配置路由器，以代替用户名或密码，但也可能被滥用来获取敏感的网络信息。一旦安装，该恶意软件就会从路由器中渗出信息，并提供对设备的隐秘后门访问。 思科Talos的威胁情报总监Matt Olney在一篇博文中说，这次活动是”一个更广泛的趋势，即复杂的对手将网络基础设施作为目标，以推进间谍活动的目标或为未来的破坏性活动做准备”的一个例子。 “思科对网络基础设施的高精尖攻击率的增加深感担忧–我们已经观察到了，并且看到了由各种情报组织发布的许多报告所证实的情况–表明国家支持的行为者正在瞄准全球的路由器和防火墙，”奥尔尼补充说，除了俄罗斯之外，还有其他国家支持的黑客被发现在一些活动中攻击网络设备，例如利用Fortinet设备的一个零日漏洞，对政府组织进行了一系列攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7223790451927548420/ 封面来源于网络，如有侵权请联系删除