HackerNews 编译，转载请注明出处： 五眼情报联盟的网络安全机构于周三紧急警告称，“一名高级威胁行为者” 正在主动利用思科网络设备中的新漏洞，敦促各机构检查其系统是否已遭入侵。 美国网络安全与基础设施安全局（CISA）发布紧急指令，警告 “网络威胁行为者正在持续利用 Cisco SD-WAN 系统”，称该活动对联邦民用行政部门网络构成重大风险。 警报中提及的漏洞包括 CVE-2026-20127 和 CVE-2022-20775，这两个漏洞已被证实在现实环境中被利用。CISA 表示，经评估，当前情况 “对联邦机构构成不可接受的风险，必须采取紧急行动”。 英国国家网络安全中心（NCSC）也表示，“恶意网络威胁行为者正在针对全球各类机构使用的 Cisco Catalyst 软件定义广域网（SD-WAN）”，强调该活动并非仅限于美国。 NCSC 首席技术官 Ollie Whitehouse 表示，使用受影响思科产品的机构 “应立即排查自身网络是否面临入侵风险”，并开始查找已遭入侵的证据。 思科官方通告警告称，其产品中的 “多个漏洞” 可能 “允许攻击者访问受影响系统、将权限提升至 root、获取敏感信息并覆盖任意文件”。该公司强调，这些漏洞 “相互独立”，利用其中一个漏洞并不需要先利用另一个漏洞。 作为联合警报的一部分，澳大利亚信号局（该国网络与信号情报机构）发布了一份技术 “排查指南”，帮助机构判断黑客是否已进入其系统。 根据该指南，至少有一名恶意网络行为者自 2023 年起就一直在利用一个零日漏洞入侵 Cisco SD-WAN 环境，该漏洞于去年年底被发现并已修复。 文件称：“该漏洞允许恶意网络行为者创建一个恶意节点，加入机构 SD-WAN 的网络管理平面或控制平面。”“该恶意设备会以一个全新但临时的、由攻击者控制的 SD-WAN 组件形式出现，能够在管理和控制平面内执行受信任的操作。” 排查指南描述了获得此类权限的攻击者如何实现长期持久化控制，包括获取 root 权限并采取规避检测的措施，例如干扰日志记录与其他监控行为。 各机构尚未公开认定此次活动背后的威胁组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

11月12日，五眼联盟（美国、英国、澳大利亚、加拿大和新西兰）网络安全机构报告称，黑客越来越多地利用零日漏洞访问目标网络。 与过去相比，当前的安全威胁或关注点可能已经发生了变化。2022年和2021年发布的类似警告称，恶意网络行为者更频繁地利用旧软件漏洞，现在可能更关注新披露的漏洞。 在联合咨询报告中，机构列出了2023年最常被利用的15个漏洞，其中CVE-2023-3519（影响Citrix网络产品NetScalers的问题）被最广泛地使用。 NetScalers漏洞被修补时的报告称，攻击者利用漏洞，以自动化的方式破坏了数千个设备，放置了webshells以获得持续访问权限。 其他被广泛利用的漏洞包括影响思科路由器的关键漏洞，影响Fortinet VPN设备的漏洞，以及一个影响MOVEit文件传输工具的漏洞，该漏洞被Clop勒索软件团伙广泛利用。 报告指出，自美国网络安全和基础设施安全局（CISA）及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。 尽管咨询报告只涵盖了去年的情况，但根据英国国家网络安全中心（NCSC）的说法，零日漏洞利用的趋势已经延续到2024年，标志着“与2022年相比发生了转变，当时列表只有不到一半作为零日漏洞被利用。” NCSC首席技术官Ollie Whitehouse警告说：“常规化的零日漏洞初始利用代表了新常态，恶意行为者寻求渗透网络，这应该引起最终用户组织和供应商的关注，。” “为了降低被入侵的风险，所有组织都必须通过及时应用补丁，并在技术市场上使用安全设计产品来保持领先地位。”Whitehouse说。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sZGhRNMcdMxRXisqxWnlFg 封面来源于网络，如有侵权请联系删除