网络安全公司 Bishop Fox 警告称，人工智能开源计算框架 Ray 中的一个严重漏洞可能允许对所有节点进行未经授权的访问。 该错误的编号为 CVE-2023-48023，其存在是因为 Ray 未在其至少两个组件（即仪表板和客户端）上正确强制执行身份验证。 远程攻击者可以利用此问题在未经身份验证的情况下提交或删除作业。此外， Bishop Fox 表示，攻击者还可以检索敏感信息并执行任意代码。 该网络安全公司指出：“该漏洞可被利用来获得对 Ray 集群中所有节点的操作系统访问权限，或尝试检索 Ray EC2 实例凭证（在典型的 AWS 云安装中）。” CVE-2023-48023 的根源在于，在默认配置中，Ray 不强制执行身份验证，并且似乎不支持任何类型的授权模型，尽管框架文档中描述了可选的相互 TLS 身份验证模式。 “换句话说，即使 Ray 管理员明确启用了 TLS 身份验证，他们也无法授予用户不同的权限，例如对 Ray 仪表板的只读访问权限，”Bishop Fox 说。 据该网络安全公司称，攻击者可以通过作业提交 API 提交任意操作系统命令来利用 CVE-2023-48023。 Ray 缺乏身份验证导致其他安全漏洞，包括最近由 Protect AI 披露的问题，该公司管理 Huntr（人工智能和机器学习的错误赏金平台）。 Bishop Fox 表示，它独立发现了其中两个问题，并与 Protect AI 大约同时向 Ray 的维护者 (Anyscale) 报告。 该网络安全公司表示：“然而，根据 Anyscale 的立场，未经身份验证的远程代码执行是故意的，因此不应被视为漏洞，因此关闭了这些报告。” 此外，该公司表示，Ray jobs Python SDK 可用于未经身份验证的远程代码执行，方法是编写恶意脚本，使用 Ray API 提交任务。Ray 客户端 API 还可能被滥用于未经身份验证的远程代码执行。 Bishop Fox 还提请注意 Ray 中的其他严重漏洞，包括 Protect AI 报告的服务器端请求伪造 (SSRF) 错误 (CVE-2023-48022) 和不安全输入验证缺陷 (CVE-2023-6021)今年夏天给供应商的。 该网络安全公司指出，至少其中一些问题仍未得到修补，因为供应商要么不承认它们是安全缺陷，要么不想解决它们。 转自安全客，原文链接：https://www.anquanke.com/post/id/291506 封面来源于网络，如有侵权请联系删除

据观察，与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。 乌克兰国家安全与国防委员会 (NDSC) 报告称，APT29（又名 SVR 组织、  Cozy Bear、  Nobelium、  Midnight Blizzard和 The Dukes）在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。 APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。 据观察，与俄罗斯相关的 APT 组织使用了特制的 ZIP 存档，该存档在后台运行脚本以显示 PDF 诱饵，同时下载 PowerShell 代码以获取并执行有效负载。 APT 组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。 威胁行为者使用了一份诱饵文件（“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中包含可供出售给外交实体的宝马汽车的图像。武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。 “在这次特定攻击的背景下，会执行一个脚本，生成一个以待售宝马汽车为主题的 PDF 文件。同时，在后台，从下一阶段有效负载服务器下载并执行 PowerShell 脚本。” 阅读NDSC 发布的报告。“值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。” 在这个攻击方案中，Ngrok 被用来托管他们的下一代 PowerShell 有效负载并建立隐蔽的通信通道。 威胁行为者使用该工具来混淆与受感染系统的通信并逃避检测。 “这次活动特别值得注意的是新旧技术的结合。APT29继续采用宝马汽车待售的诱惑主题，这种策略在过去就已经出现过。然而，CVE-2023-38831 WinRAR 漏洞的部署是一种新颖的方法，揭示了它们对不断变化的威胁形势的适应性。此外，他们使用 Ngrok 服务建立秘密通信强调了他们保持隐蔽的决心。” NDSC 得出结论，还发布了这些攻击的危害指标 (IoC)。 今年 4 月，谷歌观察到与俄罗斯相关的 FROZENBARENTS  APT（又名 SANDWORM）冒充乌克兰无人机培训学校来运送 Rhadamanthys 信息窃取者。 威胁行为者使用诱饵主题作为加入学校的邀请，该电子邮件包含指向匿名文件共享服务 fex[.]net 的链接。文件共享服务被用来提供良性诱饵 PDF 文档，其中包含无人机操作员培训课程和特制的 ZIP 存档（“Навчальна-програма-Оператори.zip”（培训计划操作员）），该文档利用了缺陷 CVE-2023-38831 。 9 月，CERT-UA 观察到 FROZENLAKE 组织利用 WinRAR 缺陷在针对能源基础设施的攻击中部署恶意软件。 Google TAG 专家还观察到与俄罗斯有关的 ATP28 组织利用该漏洞攻击乌克兰用户。国家资助的黑客利用恶意 PowerShell 脚本 (IRONJAW) 窃取浏览器登录数据和本地状态目录。     转自安全客，原文链接：https://www.anquanke.com/post/id/291429 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，丰田金融服务公司（TFS）证实，在 Medusa（美杜莎）勒索软件声称对其欧洲和非洲一些网络系统进行攻击后，公司内部安全人员检测到了未经授权的恶意访问。 丰田金融服务公司作为一家丰田汽车公司的子公司，是一个全球性实体，在丰田汽车 90% 的销售市场开展业务，主要为客户提供汽车融资服务。 美杜莎袭击丰田子公司 早些时候，Medusa 勒索软件团伙将丰田金融服务公司列入了其在暗网上的数据泄露网站，要求其支付 800 万美元以换取删除被盗数据。此外，威胁攻击者还要求丰田公司在 10 天内做出“回应”。 美杜莎要求丰田公司支付 800 万美元 目前，虽然丰田金融服务公司尚未确认是否有数据被盗，但威胁攻击者者已经表示外泄了被盗文件，并威胁说如果不支付赎金，就会泄露更多数据。 为了证明成功发动了网络攻击，威胁攻击者公布了包括财务文件、电子表格、采购发票、散列账户密码、明文用户 ID 和密码、协议、护照扫描、内部组织结构图、财务业绩报告、员工电子邮件地址等在内的样本文件。 此外，Medusa 还提供了一个 .TXT 文件，其中包含声称从丰田系统中窃取的所有数据的文件树结构，其中大部分文件都是德文，这就表明黑客可能真的“访问”了丰田在中欧的业务系统。 安全事件发生后，Bleeping Computer 联系了丰田汽车，希望其就泄露数据发表评论，该公司发言人发表了如下声明： 丰田欧洲和非洲金融服务公司最近在其少数几个地点的系统中发现了未经授权的活动，目前已经将某些系统下线。同时，内部安全人员已开始与执法部门合作。截至目前，此次安全事件仅限于丰田金融服务欧洲和非洲地区。 关于受影响系统的状态及其预计恢复正常运行的时间，丰田汽车方面的发言人表示，大多数国家的系统恢复已经开始进行了。 安全事件或由 Citrix Bleed 漏洞引发 在美杜莎披露 TFS 为受害者后，安全分析师 Kevin Beaumont 强调，该公司德国办事处有一个暴露在互联网上的 Citrix Gateway 端点，该端点自 2023 年 8 月以来一直没有更新，这表明它容易受到关键的 Citrix Bleed（CVE-2023-4966）安全问题的影响。 几天前，据安全专家证实，Lockbit 勒索软件团伙正在利用 Citrix Bleed 的公开漏洞，对中国工商银行（ICBC）、DP World、Allen&Overy 和波音公司进行网络攻击， 其他勒索软件集团也可能已经开始利用Citrix Bleed。   转自Freebuf，原文链接：https://www.freebuf.com/news/384123.html 封面来源于网络，如有侵权请联系删除

已发现的漏洞一旦被利用，将构成严重风险，可能导致未经授权访问敏感信息。 印度计算机应急响应小组（CERT-IN）在最近发布的一份公告中，就影响印度安卓用户的新安卓漏洞发出了重要警告。 该警告对使用安卓 11、12、12L、13 和 14 版本的用户尤为重要，这些版本在目前使用的安卓设备中占很大比例。 已发现的 Android 漏洞如果被成功利用，将带来巨大风险，包括可能导致未经授权访问敏感信息、权限提升，以及助长对目标系统的拒绝服务攻击。鉴于这些安全问题，我们强烈呼吁 Android 用户保持警惕并采取必要的预防措施。 CERT-IN 公布的重要 Android 漏洞 根据CERT-IN于11月14日发布的声明，这些Android关键漏洞的源头在于Android操作系统的框架、系统、Google Play系统更新、内核LTS、Arm组件、联发科组件、高通组件和高通闭源组件中的漏洞。 这些漏洞具有广泛性，会影响 Google Play 系统更新、框架、系统等关键组件以及与不同硬件制造商相关的组件。如此广泛的影响，加剧了对安卓设备安全的整体威胁。 网络安全专家正在积极努力解决这些漏洞，并强调安卓用户需要在安全补丁发布后立即更新他们的设备。 在网络威胁日益频繁的时代，面对这些新的网络安全挑战，采取积极主动的措施对于保护个人信息和确保 Android 设备不被入侵至关重要。 如何保护设备免受这些安卓漏洞的攻击？ CERT-IN将继续密切关注这一情况，并强烈建议安卓用户保持警惕，采取必要的安全措施保护自己的设备免受潜在漏洞的攻击。 该机构表示，成功利用这些漏洞可能导致未经授权访问敏感信息、提升攻击者权限以及对目标系统发起拒绝服务攻击。 正如上周发布的安卓安全公告所示，谷歌也承认了这些高危漏洞。作为回应，谷歌正在为所有安卓用户发布安全更新，以解决这些问题。 为确保设备安全，Android 用户最好定期检查更新。用户可以在 “设置 “应用程序中找到自己设备的 Android 版本号、安全更新级别和 Google Play 系统级别。当更新可用时，用户会收到通知，然后及时检查更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/384019.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，CISA 警告美国各联邦机构，Juniper （瞻博网络）设备中出现 4 安全漏洞，各部门要警惕网络攻击者利用漏洞发动远程代码执行（RCE）攻击。 近期，Juniper 通知客户 Juniper J-Web 界面中出现安全漏洞，分别被追踪为 CVE-2023-36844、CVE-2023-36845、CVE-2033-36846 和 CVE-2023236847，这些漏洞已被威胁攻击者成功利用，客户应该立即升级安全更新。 值得一提的是，早在 8 月 25 日，ShadowServer威胁监控服务就透露其已经检测到了利用 Juniper 漏洞的攻击企图。此后，Juniper 才发布了修补漏洞的安全更新，watchTowr 实验室的安全研究人员也随即发布了概念验证（PoC）漏洞。 根据 Shadowserver 的数据显示，超过 10000 台 Juniper 设备易受攻击的 J-Web 接口暴露在互联网上，其中大多数来自韩国（Shodan 观察到超过 13600 台互联网上暴露的 Juniper ）。 watchTowr 实验室的研究人员曾在 8 月份表示，考虑到威胁攻击者漏洞利用非常简单，以及 JunOS 设备在网络中的“特殊”地位（应用广泛），很可能会引起对漏洞的大规模利用。因此，建议运行受影响设备的用户尽早更新到最新版本，或尽可能禁止访问 J-Web 界面。 鉴于漏洞可能会带来非常大的危害，Juniper 敦促管理员应当立即通过将 JunOS 升级到最新版本，以此来保护自身设备。如果不能及时安装最新版本，作为最低预防措施，也需要限制对 J-Web 界面的互联网访问，以消除攻击向量。 暴露在互联网上的 Juniper 设备（来源：Shadowserver） 目前，CISA 已经将 4 个 Juniper 安全漏洞添加到其已知漏洞目录中，并将其标记为 “恶意网络攻击者的频繁攻击载体”， “联邦企业构成重大风险”。此外，根据一年前发布的约束性操作指令（BOD 22-01）， Juniper 网络被列入 CISA 已知漏洞目录中后，美国联邦文职行政机构（FCEB）必须限期内确保其网络中 Juniper 网络设备的安全，即必须在当地时间 11 月 17 日前完成所有 Juniper 网络设备的升级更新。 最后，虽然 BOD 22-01 主要针对美国联邦机构，但 CISA 强烈建议包括私营公司在内的所有组织都尽快优先修补漏洞。       转自Freebuf，原文链接：https://www.freebuf.com/news/383754.html 封面来源于网络，如有侵权请联系删除

根据微软的最新发现，以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的零日漏洞实施过其他攻击。 此次的漏洞被追踪为 CVE-2023-47246，涉及一个路径遍历漏洞，可能导致黑客在内部安装中执行恶意代码。不过SysAid 已在 23.3.36 版软件中修补了这个漏洞。 微软方面表示：Lace Tempest 黑客组织在利用了该漏洞后，会通过 SysAid 软件发出命令，从而为 Gracewire 恶意软件提供恶意软件加载器。然后通过人为操作的恶意活动，比如横向移动、数据窃取和勒索软件部署等等达到进一步的攻击目的。 据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中。而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外，还用于发送 PowerShell 脚本，这个脚本主要是为了执行加载器，再反过来加载 Gracewire。同时，攻击者还部署了第二个 PowerShell 脚本，用于在部署恶意有效载荷后清除利用证据。 而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike，这是一个合法的后剥削框架。 所以为了更大程度的降低勒索软件攻击的伤害，使用 SysAid 的企业最好尽快安装补丁。同时要注意在打补丁之前扫描环境，看看是否有被利用的迹象。   转自Freebuf，原文链接：https://www.freebuf.com/news/383432.html 封面来源于网络，如有侵权请联系删除

杜克大学研究人员以12美分/条的超低价格，买到数千名美国军人的信息。 有消息称杜克大学周一发布的一项研究显示，现役美军的个人信息十分廉价、极易购买，并且还被售卖美国人数据的数据经纪人们疯狂地打广告宣传。 研究人员表示，他们购买了各种数据，包括姓名、电话号码、地址，有时甚至能买到军人子女的姓名、婚姻状况、净资产和信用评级等信息。购买单价一般仅有12美分/人。研究人员一共花了1万美元出头，就买到将近5万名军人的记录。 这项研究引发担忧，数据经纪业缺乏重大监管可能对国家安：-全带来风险。部分美国参议员提前查看了杜克大学的研究结果。他们通过电子邮件发表声明称，研究说明了有必要采取应对行动。 共和党参议员Bill Cassidy表示：“研究报告进一步说明美国军人保护工作存在巨大漏洞，急需加以解决。我们必须维护国家安全，保护守卫国家的军人。” 民主党参议员Ron Wyden称，研究结果“为政策制定者敲响了警钟。数据经纪业已经失控，对美国国家安全构成了严重威胁。” 数据交易网站无所不卖 研究发现，有500多家数据经纪网站打广告宣传能够提供军人信息。发现购买者是学术研究人员后，部分网站拒绝出售这些信息，而其他一些网站要求买方签署保密协议。杜克大学研究人员最终从三家未具名的经纪人那里购买了数千份记录。 杜克大学桑福德公共政策学院研究员Justin Sherman表示，研究结果揭示了隐私法规很少讨论的一面。 Justin Sherman说，“我们的政策存在一个有趣的空白。我们对隐私的讨论主要关注消费者隐私，这当然也很重要。但是，讨论者很少考虑国家安全。” 一些经纪人提供了特定地区的记录。购买者可以由此推断出现役军人的驻地。 危及国家安全 军人数据可以轻易获得属于国家安全问题。这是因为，外国间谍可以利用这些数据，识别、接触拥有国家机密的美国人。 前中情局官员Jeff Asher告诉NBC新闻：“有些人不应该被外国情报部门接触。然而，他们的信息可以轻易获得。这种情况并不乐观。” 今年7月，美国国家情报总监办公室委托的一个小组发布报告，表示美国情报机构经常购买这种“可在市面上购取的信息” （CAI），几乎没有受到质疑或监督。 小组发现：“人们越发认识到，CAI作为一种唾手可得的资源，为我们的对手提供了情报优势。” 五角大楼发言人没有回应置评请求。 一些国家，特别是欧盟国家，制订了严格的法规，用于指导个人信息收集、打包、购买和出售等行业行为。美国法律对医疗数据和幼儿信息的收集设定了一些限制，但国会未能达成一项普遍的数据隐私法案。 Ron Wyden说：“不要觉得我总是重复说，我们的国家迫切需要一项全面的消费者隐私法，从源头限制敏感个人信息的收集、留存和出售。”   转自安全内参，原文链接：https://www.secrss.com/articles/60453 封面来源于网络，如有侵权请联系删除

谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。 2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上发布，该工具能够利用 Gmail 帐户将谷歌 Calendar Events用于C2上。 此脚本的开发者和研究员Valerio Alessandroni表示：该脚本利用Google Calendar中的事件描述创建了一个名为MrSaighnal的隐秘通道，该通道可直接连接到谷歌。 谷歌在第八版Threat Horizons 报告中提到，目前并未观察到该工具有在野外被使用的情况，但Mandiant威胁情报部门发现目前有几个PoC的威胁行为者有在地下论坛上分享相关内容。 谷歌方面表示：GCR 在受感染的机器上运行会定期轮询 Calendar 事件描述，然后执行获取到的新命令，输出更新事件描述。由于该工具只在合法基础设施上运行，因此防御者很难及时地发现可疑活动。 这证明威胁行为者对于滥用云服务这件事还是比较感兴趣的。比如某伊朗民族国家行为者，就曾利用宏文档，通过一个代号为 BANANAMAIL 的 Windows NET 后门程序入侵了用户，并借助电子邮件控制了C2。 谷歌方面表示：这个后门程序会利用 IMAP 连接攻击者控制的网络邮件账户，在那些账户中完成解析邮件以获取命令、执行命令，最终将包含解析结果的邮件重新发回。谷歌的威胁分析小组称现已禁用那些被攻击者控制Gmail 账户，以防止这些账户被其利用作为通道使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/383056.html 封面来源于网络，如有侵权请联系删除

Veeam 今天发布了修补程序，以解决该公司 Veeam ONE IT 基础设施监控和分析平台中的四个漏洞，其中两个漏洞非常严重。 该公司为关键安全漏洞分配了几乎最高的严重性评级（CVSS 基本分数为 9.8 和 9.9/10），因为这些漏洞让攻击者能够获得远程代码执行 (RCE) 并从易受攻击的服务器窃取 NTLM 哈希值。其余两个是中等严重程度的错误，需要用户交互或影响有限。 “Veeam ONE 中的漏洞允许未经身份验证的用户获取有关 Veeam ONE 用于访问其配置数据库的 SQL 服务器连接的信息。这可能会导致在托管 Veeam ONE 配置数据库的 SQL 服务器上远程执行代码。”今天发布的一份公告 描述 了被追踪为 CVE-2023-38547 的错误。 该公司在描述第二个严重漏洞 (CVE- 2023-38548）今天修补。 Veeam 还修复了一个被追踪为 CVE-2023-38549 的安全漏洞，该漏洞可能会让具有高级用户角色的攻击者在跨站点脚本 (XSS) 攻击中窃取管理员的访问令牌，这需要与 Veeam ONE 管理员进行用户交互角色。 CVE-2023-41723 是今天解决的第四个漏洞，具有只读用户角色的恶意行为者可以利用它来访问仪表板计划（攻击者无法进行更改）。 这些缺陷影响积极支持的 Veeam ONE 版本（直至最新版本），该公司已发布以下修补程序来修补它们（ 此安全公告中提供了下载链接）： Veeam ONE 12 P20230314  (12.0.1.2591) Veeam ONE 11a  (11.0.1.1880) Veeam ONE 11  (11.0.0.1379) 管理员必须停止受影响服务器上的 Veeam ONE 监控和报告服务，用修补程序中的文件替换磁盘上的文件，然后重新启动服务以部署修补程序。 今年 3 月，Veeam 还修复了备份和复制软件中的一个高严重性备份服务漏洞(CVE-2023-27532)，该漏洞可用于破坏备份基础设施主机。 此缺陷后来成为 与出于经济动机的 FIN7 威胁组织相关的攻击的目标，该组织因与多个勒索软件操作有联系而闻名，包括 Conti 集团、REvil、Maze、Egregor 和 BlackBasta。 几个月后，古巴勒索软件团伙利用该漏洞 攻击 美国的关键基础设施组织和拉丁美洲的 IT 公司。 Veeam 表示 ，其软件被全球超过 450,000 家客户使用，其中包括 82% 的财富 500 强公司和 72% 的全球 2,000 强年度排名公司。 转自安全客，原文链接：https://www.anquanke.com/post/id/291244 封面来源于网络，如有侵权请联系删除

王牌五金内部发生一起网络安全事件，导致包括网络、仓库、零售商、客服等诸多关键运营系统中断运行，在线订购等服务无法使用，顾客只能前往线下商店去购买。 有消息称：美国五金零售连锁巨头王牌五金（Ace Hardware）似乎成为了最新遭到网络攻击的机构。 该公司网站日前警告称，公司拥有的零售合作社目前无法处理在线订单。而首席执行官John Venhuizen也发布备忘录，说明问题十分严重。 Venhuizen发给王牌五金零售商一份备忘录中表示：“上周日早上，我们检测到一起影响我们大多数IT系统的网络安全事件。由于这一事件，我们许多关键运营系统，包括ACENET（网络）、仓库管理系统、零售商移动助手（ARMA）、热销产品目录、发票、奖励系统及客服中心的电话系统都已中断或暂停运行。” 王牌五金公司暂未回应外媒The Register提供更多信息的请求。根据社交媒体上的评论来看，内部情况不容乐观。有网友声称在这家市值数十亿美元的机构的仓库工作，他们表示已被打发回家。其他人则担心无法按时领到工资。 据The Register观察，王牌五金的最新情况更新表明，该公司10月31日不会送货，也无法接受来自零售商的订单。不过，商店应该保持营业。王牌五金指出，尚未发现有店内支付系统或信用卡处理系统受到影响。 换句话说，消费者已经无法通过王牌五金公司下订单或使用其他服务，但可以亲自前往王牌五金商店购买现货商品。 王牌五金尚未明确遭受的攻击类型，只表示正在努力恢复系统和运营，并已请数位数字取证专家提供协助。 首席执行官对零售商们补充道：“您的王牌五金团队正在一组技术取证专家的支持下，全力解决这一情况。没有什么比尽早恢复所有运营更重要。我们面临的动态快速变化，事件细节将迅速变化。” 有许多潜在漏洞可能已经被利用来攻击该机构的信息技术系统；上周，思杰系统有限公司用户被敦促修补一个关键的Netscaler漏洞。我们注意到，美高梅度假村承认，这家娱乐巨头因为去年9月的网络攻击可能损失了1亿美元。 王牌五金公司被誉为全球最大的由零售商拥有的硬件合作社，总部位于美国伊利诺伊州。该公司销售DIY所需各类工具和其他物品。据称公司在全球拥有5000多家独立门店。 该公司最近的收入有所下降，2023年第一季度报告为21亿美元，较去年同期下降了5.8%。 根据《新闻周刊》的“美国最值得信赖的公司”排行，王牌五金公司被评为美国第六值得信赖的零售商。   转自安全内参，原文链接：https://www.secrss.com/articles/60302 封面来源于网络，如有侵权请联系删除