Bleeping Computer 网站披露，CISA 发布警告称上周有一个打补丁的零日漏洞（CVE-2023-2868）被网络攻击者用来入侵 Barracuda电子邮件安全网关（ESG）设备。目前，美国网络安全局已将该漏洞添加到其野外利用的安全漏洞目录中。 Barracuda 已经发布安全补丁 Barracuda 的安全解决方案在全球范围内有很大的市场份额，约 20 多万个实体组织使用，其中包括三星、三菱、卡夫亨氏和达美航空等知名公司。 Barracuda 指出根据调查结果显示，内部已经确定 CVE-2023-2868 漏洞可导致网络攻击者对电子邮件网关设备子集的未经授权访问，Barracuda 已通过周末发布的两个安全补丁修补了有该漏洞的设备。 值得一提的是，CISA 要求联邦民用行政部门机构（FCEB）机构必须按照 BOD 22-01 约束性操作指令的命令修补或缓解（CVE-2023-2868）漏洞。 受漏洞影响的客户应尽快检查其网络是否被破坏 Barracuda 公司表示对受感染的设备调查仅限于其 ESG 产品，并建议受影响的客户尽快审查其环境，以确保攻击者不会访问其网络上的其他它设备，联邦机构必须重视 CISA 的警报，立刻检查其网络是否有入侵迹象。 此外，尽管只需要美国联邦机构来修复添加到 CISA 已知漏洞（KEV）列表中的漏洞，但也强烈建议私营公司优先修复这些漏洞。CISA 强调这些漏洞是恶意网络行为者的常见攻击载体，并对联邦企业构成重大风险。 近期，CISA 在其漏洞列表中增加多个安全漏洞。当地时间周一，CISA 警告联邦机构要保护其环境中的iPhone 和 Mac 免受三个 iOS 和 macOS 零日攻击，其中一个由 Google TAG 和 Amnesty International 安全研究人员报告，并可能在国家支持的间谍软件攻击中被利用。 一周前，CISA 还在其 KEV 目录中增加了一个三星 ASLR 绕过漏洞，该漏洞作为利用链的一部分被网络攻击滥用，在运行Android 11、12 和 13 的三星移动设备上部署间谍软件套件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367823.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，美国网络安全和基础设施安全局（CISA）在其已知被利用的漏洞目录中增加了七个新安全漏洞。 漏洞详情： CVE-2023-25717：Cybir 的研究人员发现 Ruckus 无线接入点（AP）软件在 web 服务组件中存在一个未知漏洞。一旦用户在 AP 上启用了 web 服务组件，攻击者就可以执行跨站点请求伪造（CSRF）或远程代码执行（RCE）。此漏洞会影响 Ruckus ZoneDirector、SmartZone 和 Solo AP，用户应尽快安装补丁； CVE-2021-3560：Red Hat Polkit 通过绕过 D-Bus 请求的凭据检查，包含一个不正确的授权漏洞，攻击者可以利用该漏洞进行权限升级。polkit 是一个应用层面的工具包，用于定义和处理允许非特权进程与特权进程对话的策略，它被默认安装在几个 Linux 发行版上。 CVE-2014-0196：Linux 内核在 n_tty_write 函数中包含一个竞争条件漏洞，该漏洞允许本地用户通过长字符串的读写操作造成拒绝服务或获得特权。； CVE-2010-3904：Linux 内核在可靠数据报套接字（RDS）协议实现中包含一个不正确的输入验证漏洞，该漏洞允许本地用户通过精心使用 sendmsg 和 recvmsg 系统调用来获得权限； CVE-2015-5317：Jenkins用户界面（UI）包含一个信息泄露漏洞，该漏洞允许用户在“指纹”页面上查看作业和构建的名称。 CVE-2016-3427：Oracle Java SE、Java SE Embedded 和 JRockit 中的 JMX 子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件，影响数据的保密性，完整性及可用性。 攻击者可通过沙盒 Java Web Start 应用程序和沙盒 Java 小程序利用该漏洞，也可以通过向指定组件中的 API 提供数据来利用漏洞。受到影响版本包括 Oracle Java SE 6u113 版本，7u99 版本，8u77 版本，Java SE Embedded 8u77 版本，Jrockit R28.3.9 版本； CVE-2016-8735：Apache Tomcat 中存在一个远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码。一旦攻击者使用 JmxRemoteLifecycleListener 并且获得访问 Java 管理扩展（JMX）端口的权限，就可以轻松利用该漏洞允，执行远程代码。受影响版本包括 Apache Tomcat 6.0.48 之前的版本，7.0.73 之前的7.x版本，8.0.39 之前的 8.x 版本，8.5.7 之前的 8.5.x 版本，9.0.0.M12 之前的 9.x 版本。 根据约束性操作指令（BOD）22-01的要求，所有联邦民事行政部门机构(FCEB)在被添加到 CISA 的已知利用漏洞(KEV)目录后，必须在到期日前解决已识别的漏洞，保护其系统免受此安全漏洞的影响，降低已知被利用漏洞的重大风险。此外，网络安全专家建议私营组织也应该审查 CISA 目录中的漏洞，并解决其基础设施中存在的漏洞。 最后，CISA 命令联邦机构在 2023 年 6 月 2 日之前修复上述漏洞！     转自 Freebuf，原文链接：https://www.freebuf.com/news/366718.html 封面来源于网络，如有侵权请联系删除

上周五，美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞，具体如下： CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞 CVE-2023-27350 (CVSS评分- 9.8)-剪纸MF/NG不当访问控制漏洞 CVE-2023-2136 (CVSS评分-待定)-谷歌Chrome Skia整数溢出漏洞 MinIO的维护人员在2023年3月21日发布的一份资讯报告中表示，在集群部署中，MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD会还原所有环境变量，导致信息泄露。 据GreyNoise收集的数据显示，在过去的30天里，来自美国、荷兰、法国、日本和芬兰等多达18个恶意IP地址试图利用该漏洞。值得注意的是，这家威胁情报公司在上月底发布的警报文件中指出，OpenAI为开发者提供了一个参考方法，阐述了如何将他们的插件集成到ChatGPT上，主要是依赖于一个旧版本的MinIO，而该版本存在CVE-2023-28432的漏洞。 GreyNoise表示，OpenAI开发的新功能对于那些想在ChatGPT集成中访问不同提供商实时数据的开发人员来说，的确是一个非常有价值的工具，但安全性始终应该是摆在首位的核心设计原则。 此外，KEV目录中还添加了一个会致使PaperCut软件远程代码执行错误的漏洞。攻击者可以通过该漏洞实现免身份验证，并直接远程运行任意代码。 不过截至2023年3月8日，供应商已经修复了该漏洞，并发布了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已于2023年1月10日正式报告了该问题，并预计将于2023年5月10日发布更多技术细节。 本周早些时候，有一家总部位于墨尔本的公司分享了一则最新消息称：有证据表明，在2023年4月18日左右，有攻击者通过漏洞攻击了未打补丁服务器。网络安全公司北极狼(Arctic Wolf)表示，此前也发现了一些PaperCut服务器被入侵的情况。一经入侵，RMM的工具Synchro MSP会直接在被损害系统上自动加载。 最后一个被添加至目录的是谷歌Chrome漏洞，该漏洞会直接影响到Skia 2D图形库，并可以让威胁者通过精心制作的HTML页面执行沙盒逃逸。 CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞，以确保其网络安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/364502.html 封面来源于网络，如有侵权请联系删除

上周五，美国网络安全和基础设施安全局（CISA）在它们的漏洞（KEV）目录中又补充了五大安全漏洞的信息。为了进一步说明这些漏洞的情况，他们还引用了该漏洞在实验室和研究机构外部的计算机活跃开发利用病毒的一些证据。 其中包括Veritas Backup Exec代理软件中的三个高危漏洞： CVE-2021-27876（CVSS评分：8.1）– Veritas Backup Exec Agent文件访问漏洞 CVE-2021-27877（CVSS评分：8.2）–Veritas Backup Exec Agent不当认证漏洞 CVE-2021-27878 (CVSS 平分：8.8) — Veritas Backup Exec Agent命令执行漏洞 这些漏洞会在底层系统上直接执行特权命令，不过去年3月Veritas就发布了专门针对这些漏洞的补丁，目前漏洞已经得到修复。 据上周谷歌旗下的Mandiant公司的一份报告透露，与BlackCat（又名ALPHV和Noberus）勒索软件相关的一个附属机构，最近一直在尝试通过利用上述三个漏洞来获得初始访问权，以完成Veritas Backup Exec安装的最终目的。 这家威胁情报公司称最早是在2022年10月22日发现的这种利用漏洞的情况，并且实施操作的人还使用了名为UNC4466的代号，目前他们正在以这个代号为线索来追踪其背后真正的“操控者”。 值得注意的是，之前Mandiant公司也曾提到过类似的事情，UNC4466在破解了一台Windows服务器的访问权后，先是侦查了一下服务器的情况，然后就立刻自行提升了系统权限，并直接禁用了该服务器防御系统的实时监控能力，以完成部署基于Rust的勒索软件的有效负载。 第四个被CISA新增到KEV目录中的漏洞是CVE-2019-1388（CVSS评分：7.8），这个漏洞不仅会影响到Windows证书对话框权限，还能够在那些已经被攻击的主机上直接运行一些更高权限的操作。 最后是第五个漏洞——Arm Mali GPU内核驱动中的一个信息披露漏洞（CVE-2023-26083）。上个月，谷歌威胁分析小组（TAG）曾提到，有一个不知名的间谍软件供应商就利用了这个漏洞入侵了三星安卓智能手机的系统。 联邦民事行政部门（FCEB）被勒令必须在4月28日之前部署好针对这些漏洞的补丁，以保障各系统的信息安全。 与此同时，因受到CVE-2023-28205和CVE-2023-28206两个漏洞的影响，苹果公司近日也发布了iOS、iPadOS、macOS和Safari网络浏览器的更新版本，以确保系统的运行安全。       转自 Freebuf，原文链接：https://www.freebuf.com/news/363327.html 封面来源于网络，如有侵权请联系删除

作为美国网络安全和基础设施安全局（CISA）2024财年预算申请的重点，该机构正在寻求建设新的“网络分析和数据系统”（CADS），作为后爱因斯坦（EINSTEIN）时代国家网络防御体系的中心。 CISA希望在2024财年为CADS项目提供4.249亿美元（约合人民币28.96亿元）。预算文件解释称，该项目的设想是打造一套“管理所有系统的系统”，提供“一个强大且可扩展和分析环境，能够集成任务可见性数据集，并为CISA网络操作人员提供可视化工具与高级分析能力。” 根据预算文件，这项新计划也是美国国家网络安全保护系统（NCPS，等同于爱因斯坦系统）“重组”措施的一部分。爱因斯坦系统由国土安全部于2003年提出，长期负责保护联邦机构的网络体系。 国家网络安全保护系统的核心基础设施、分析和信息共享等功能，将通过此次重组过渡为新的CADS计划。而入侵检测与防御等功能则将在2024年继续保留在爱因斯坦系统之下。 国土安全部前高级官员Chris Cummiskey表示，这份预算案是对过去几年间围绕爱因斯坦系统未来走向这一重大问题做出的回应。 “当时的想法是，爱因斯坦系统终将转化成其他形态。我想我们现在已经有了答案。……过去15到20年间，我们在联邦政府层面所熟知的爱因斯坦系统将变得截然不同。” 新系统为分析师提效赋能 CISA负责网络安全的执行助理主任Eric Goldstein在一封邮件声明中表示，新的CADS系统将帮助CISA“在破坏性入侵发生之前，快速分析、关联并行动以解决网络安全威胁和漏洞。” Goldstein解释道，该系统将整合来自多个来源的数据，包括“公共与商业数据馈送；CISA自己的端点检测与响应传感器、Protective[域名系统]，以及覆盖美国数千家注册组织的漏洞扫描服务；还有公共和私营合作伙伴共享的数据。” CADS还将为CISA的网络分析师提供统一的数据仓库，让他们不必像现在这样，在不同系统之间切换手动比较数据和威胁信息。 “CADS提供的工具和功能有助于数据的摄取、集成、协调和自动化分析，将支持对恶意网络活动的快速识别、检测、缓解和预防。” 一位业内消息人士指出，CADS计划将为CISA建立一个工程与软件开发中心，确保在CISA快速发展的同时满足其对工具和分析的需求。 这位消息人士表示，“随着CISA的发展成熟，这方面需求也在逐步升级。CISA希望成长为一种强大、灵活的资源池，实现对软件、工具和基础设施的按需开发。” CISA还要求在2024年继续向爱因斯坦系统划拨6700万美元运营经费，并计划更换爱因斯坦中遗留的入侵检测和预防工具。 预算文件提到，在入侵防御方面，CISA计划在2024年将爱因斯坦的EINSTEIN Accelerated(E3A)邮件过滤工具“退役”，转为使用其他非机密性的商业服务，包括CISA的新Protective DNS服务。 文件还指出，CISA将继续运行爱因斯坦的入侵检测功能，同时探索新方案以满足在联邦政府内“扩大云技术使用范围”的目标。 超越“爱因斯坦” 在过去二十年间，爱因斯坦计划一直是国土安全部的核心任务之一，负责保卫联邦文职行政部门的网络安全。该系统记录进出机构网络的数据流量，在识别到恶意流量时向机构发出警报，并会阻断已知的网络攻击行为。 但美国国会研究服务处在2018年的一份报告中指出，爱因斯坦存在一个关键限制因素，即必须“之前看到并分析过恶意流量才能起效，无法在首次接触新的恶意流量时进行识别。” 换句话说，爱因斯坦系统“只能阻止已知威胁”。 在2020年SolarWinds事件爆发后，美国国会开始认真关注这个重大缺陷。 面对爱因斯坦耗资60亿美元却效果不佳的质疑，CISA官员辩护称，这套系统在设计之初就没有考虑过阻止新型供应链攻击。 CISA代理局长Brandon Wales在2021年3月的参议院听证会上表示，“我认为最好能保留爱因斯坦系统中仍能发挥作用、提供重要价值的部分，并把那些缺乏实际作用的部分替换成新项目。” 在本月初发布的报告中，国土安全部监察长办公室发现，SolarWinds漏洞“表明CISA的网络可见性和威胁识别技术需要得到显著改进”。 作为对这份报告的回应，CISA强调称正在开发CADS计划，正在为“CADS的持续交付”整理成本估算和时间表，预计将在3月31日之前交由国土安全部的项目责任和风险管理办公室审批。 虽然这项新计划的部门内审批正在推进，但CISA还要想办法说服国会。至于此前遗留的爱因斯坦计划，将在2023财年末获得重新授权。 监察长办公室的报告还提到，CISA在2023年将拥有2500万美元的“过桥资金”以继续投资基础设施和分析能力，直到2024年预算获得批准。 关于CISA如何实现新CADS计划的详细信息尚未公开。Cummiskey表示，如果CISA能够在2024年成功申请到经费，可能会很快启动相关重大采购。 “跟他们过去推进持续诊断和缓解（CDM）计划与爱因斯坦计划类似，我认为这将是网络安全行业在此类特定计划中发挥重要作用的又一关键机遇。”他说。     转自 安全内参，原文链接：https://www.secrss.com/articles/53038 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统 (ICS)公告，警告称存在影响Delta Electronics和Rockwell Automation设备的严重缺陷。 这包括Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。 “成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码。”CISA表示。 排在首位的是CVE-2023-1133（CVSS评分：9.8），这是一个严重缺陷，源于 InfraSuite Device Master 接受未经验证的 UDP 数据包并反序列化内容，从而允许未经身份验证的远程攻击者执行任意代码。 CISA警告说，另外两个反序列化缺陷CVE-2023-1139（CVSS评分：8.8）和CVE-2023-1145（CVSS评分：7.8）也可以被武器化以获取远程代码执行。 Piotr Bazydlo 和一位匿名安全研究员发现了这些缺陷并向 CISA 报告。 另一组漏洞与罗克韦尔自动化的 ThinManager ThinServer 相关，影响以下版本的客户端和远程桌面协议 (RDP) 服务器管理软件 ： 6.x – 10.x 11.0.0 – 11.0.5 11.1.0 – 11.1.5 11.2.0 – 11.2.6 12.0.0 – 12.0.4 12.1.0 – 12.1.5 13.0.0 – 13.0.1 最严重的问题是跟踪为CVE-2023-28755（CVSS评分：9.8）和CVE-2023-28756（CVSS评分：7.5）的两个路径遍历缺陷，可能允许未经身份验证的远程攻击者将任意文件上传到目录ThinServer.exe 的安装位置。 更令人不安的是，对手可以将CVE-2023-28755武器化，用木马化版本覆盖现有的可执行文件，从而可能导致远程代码执行。 “成功利用这些漏洞可能允许攻击者在目标系统/设备上执行远程代码或使软件崩溃。”CISA指出。 我们的建议 1、用户更新至版本11.0.6、11.1.6、11.2.7、12.0.5、12.1.6和 13.0.2 以减轻潜在威胁。ThinManager ThinServer 版本 6.x – 10.x 已停用，要求用户升级到受支持的版本。 2、建议将端口 2031/TCP 的远程访问限制为已知的客户端和 ThinManager 服务器。 在CISA警告Rockwell Automation ThinManager ThinServer（CVE-2022-38742，CVSS 评分：8.1）中存在可能导致任意远程代码执行的高严重性缓冲区溢出漏洞后的六个多月，该漏洞才被披露。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/9TyE8Ec9QTsJqfj6fsaBkg 封面来源于网络，如有侵权请联系删除

美国总统拜登发布2024财年预算提案，计划为网络安全和基础设施安全局（CISA）增加预算，同时提高联邦调查局（FBI）的网络调查能力。新的预算案还呼吁加强联邦政府的IT现代化工作，围绕性别相关网络犯罪推进网络安全工作，帮助乌克兰在数字战线上增强自我保卫能力。 “本预算案将继续投资网络安全计划，强调网络安全对于美国经济的基本运作、美国关键基础设施的正常运营、美国民主及民主制度的力量、美国数据和通信隐私及美国国家安全至关重要。”白宫在预算案的随附概述中表示，“日前签署的美国国家网络安全战略已经详细介绍一种全面方法，旨在更好地保护网络空间，确保美国处于最有利的地位，把握住数字未来所蕴含的一切收益和潜力。” 控制众议院的共和党已经对预算案内容表达了明确反对，这份预算规划恐怕不太可能直接通过。不过，预算法案中的网络安全条款一般会得到两党共同支持，因此相较于众议院领导层更为反感的债务上限和社会问题，网络安全条款得到保留和通过的可能性应该更高。 1、主要网络安全预算梳理 下面来看预算案中涉及网络安全的主要条款： CISA预算资金首次突破30亿美元 白宫表示，在新一年中将CISA的预算再增加1.45亿美元，总额达到31亿美元，以确保网络空间更具弹性和灵活性。这一前所未有的预算额度，也意味着CISA这个成立于2018年11月的年轻机构，掌握的资金首超30亿美元大关。 CISA的预算包括：9800万美元用于实施2021年《关键基础设施网络事件报告法》；4.25亿美元用于提高CISA内部的网络安全与分析能力，这也是其新的网络分析数据系统中的组成部分。国土安全部表示，该系统“是一个强大且可扩展的分析环境，能够为CISA的网络操作人员提供高级分析功能。” 能源部获得2.45亿美元，用于加强清洁能源安全和能源供应链安全 拜登政府提供2.45亿美元预算，用于加强清洁能源技术和能源供应链安全。预算还将增加对各州、地方、部落及领地政府的应急计划与准备援助，包括应对气候变化所造成的相关事件。 财政部新增1.15亿美元，用于改善“企业安全” 根据拟议预算，财政部将分得2.15亿美元，用于保护和捍卫敏感机构的系统和信息，其中包括被指定为高价值资产的各类系统和信息。这一数字比2023年的预算水平增加了1.15亿美元，增幅达51%。 此外，预算还上调了集中资金，用以加强财政部的整体网络安全工作，并继续实施零信任架构以保护财政部系统免受未来攻击影响。 司法部获得额外6300万美元，用于追查网络威胁 新的预算旨在扩大对司法部网络威胁调查能力的投资，其中6300万美元将用于扩充人员规模、增强响应能力并加强情报收集和分析能力。政府在预算案中指出，“这些投资符合国家网络安全战略，战略中强调应采取全国性方法来应对持续存在的网络威胁。” 技术现代化基金获得2亿美元预算 为了支持IT现代化改造，预算中还包含2亿美元的技术现代化基金（TMF），设立依据源自2017年的《政府技术现代化法案》。预算案称，“技术现代化基金占据着有利位置，能够寻求跨机构运用技术方案的机会，并投资于IT现代化、网络安全和面向用户的服务，借此显著推动联邦政府提供卓越、公平和安全的服务/客户体验的能力。” 近4亿美元用于加强全球网络和数字发展 预算案要求，投入超3.95亿美元用于推进全球网络和数字发展计划，包括国务院网络空间和数字政策局、美国国际开发署（USAID）的数字战略、全球基础设施和投资伙伴关系（PGII）数字连接工作，以及非洲数字化转型等区域性举措。 预算案还提到，政府计划增加国防部对印太地区的安全合作投资，将重点建设包括领域意识、后勤、网络安全以及指挥与控制等多个方面的能力。 投资解决涉及性别的网络犯罪活动：在总额达10亿美元的终止性别暴力预算提案中，将有1400万美元用于资助更新之后的《反暴力侵害妇女法》（VAWA，最初颁布于1994年）以解决技术滥用问题，应对指向个人的网络犯罪。 援助乌克兰专项资金 预算案还要求向乌克兰提供7.53亿美元，用以继续对抗俄罗斯的恶意影响，并满足关于安全、能源、网络安全、虚假信息、宏观经济稳定和公民社会恢复的新需求。 2、还需接受国会审查 在美国总统拜登向国会提交预算提案后，各联邦机构将向相关拨款委员会和小组委员会提交预算申请理由。这些提交的文件将启动新一轮涉及预算流程的国会监督行动。众议院也有责任对预算分配提案表达质疑。由于两党间的对立情绪高涨，今年的争论恐怕将趋于白热化。 拜登在宾夕法尼亚州的预算演讲中，对下一步行动做出部署。在谈到与众议院议长凯文·麦卡锡的对话时，拜登说他告诉麦卡锡，“我将在3月9日公布预算案，你也公布你的。我们一起坐下来逐条讨论、一一沟通。我们看看各自同意哪些内容、不同意哪些内容，之后再到国会里确定个结果来。”     转自 安全内参，原文链接：https://mp.weixin.qq.com/s/iPjZahHaZqOOER7lGhhL2Q 封面来源于网络，如有侵权请联系删除  

近日，美国网络安全和基础设施安全局 (CISA) 已将 VMware Cloud Foundation 中的一个严重漏洞（安全漏洞代码为CVE-2021-39144）、Plex 媒体服务器中存在近三年的高严重性远程代码执行 (RCE) 漏洞（安全漏洞代码为 CVE-2020-5741）两项安全漏洞添加到其已知利用漏洞目录中。 1 VMware Cloud Foundation中的漏洞 “由于在 VMware Cloud Foundation (NSX-V) 中利用 XStream 进行输入序列化的未经身份验证的端点，恶意行为者可以在设备的‘root’上下文中远程执行代码。” 该公司发布的公告。Source Incite 的 Sina Kheirkhah 和 Steven Seeley 报告了该漏洞。 VMware Cloud Foundation 中的严重漏洞自去年12 月初以来一直在野外被利用。根据Binding Operational Directive (BOD) 22-01：降低已知被利用漏洞的重大风险，美国联邦机构（FCEB）必须在截止日期 2023 年 3 月 31 日前解决已识别的漏洞，以阻止可能通过利用这些漏洞针对其网络的攻击企图。 2 Plex 媒体服务器中的漏洞 Plex 媒体服务器中的漏洞则允许具有管理员权限的威胁参与者在不需要用户交互的低复杂性攻击中远程执行任意 Python 代码。根据 Plex 安全团队在发布 Plex Media Server 时修补了该漏洞，因此“拥有 Plex Media Server 管理员权限的攻击者可能会滥用摄像头上传功能，使服务器执行恶意代码”。 “这可以通过将服务器数据目录设置为与启用了相机上传的库的内容位置重叠来完成。如果不首先获得对服务器 Plex 帐户的访问权限，则无法利用此问题。” 虽然 CISA 没有提供有关利用 CVE-2020-5741 的攻击的任何信息，但这很可能与LastPass 最近披露的有关。该LastPass去年披露了一名高级 DevOps工程师的计算机被黑客入侵，以通过滥用第三方媒体安装键盘 记录程序软件 RCE 错误。 据了解，攻击者曾凭借这个漏洞获得了工程师的凭证和LastPass公司保险库的访问权限。在威胁行为者窃取LastPass生产备份和关键数据库备份后，并导致了 2022 年 8 月的大规模数据泄露。 CISA强烈敦促所有组织修补这些漏洞以抵御持续的攻击，专家还建议私人组织审查目录并解决其基础设施中的漏洞。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/3P90odtHRFX4gP_ExAs3Kw 封面来源于网络，如有侵权请联系删除

近期美国网络安全和基础设施安全局CISA公布一份网络钓鱼信息图表（Phishing-infographic），当中揭露了CISA模拟网钓测试评估的结果，同时还汇整出防范网钓攻击应关注的4大面向及具体行动。 网络钓鱼威胁已是企业组织常年关注的网络安全议题，除了每天从不间断的各种事故发生之外，目前情况究竟有多严重？我们该如何防范？ 去年12月8日，美国网络安全和基础设施安全局CISA公布的网络钓鱼资讯图表（Phishing-infographic）提供了一些答案。这当中提到网络钓鱼是一种社交工程的手法，普遍冒充值得信赖的同事与组织，企图引诱受害者上当，而且可利用的渠道很多，包含电子邮件、通讯软体或SMS简讯，以及电话。特别的是，该份报告提供防御指引，也呈现组织员工面临网钓模拟攻击反应。 网钓攻击突破防护与成功的机率，可能比你想要更高 根据这份报告的内容显示，每10个接受CISA模拟网钓测试的人中，就有1人点击链接，或是下载附件，而且，每10家企业组织就有8家至少1人沦为模拟网钓测试的受害者。此外，CISA也指出，有70%的恶意程序或恶意连结未被网络边界防护服务阻挡，有15%的恶意程序未被端点防护产品阻挡，有84%的员工在收到恶意邮件的前10分钟内，就自行回复敏感信息或是点击连结与附件，并且只有13%的目标锁定员工回报自己遭遇网络钓鱼事件。 从上述公布的比例来看，虽然CISA并未公布相关细节与防护概况，但企业在执行相关教育训练时，可以让员工更了解两件事：边界防护与端点防护虽然能帮助过滤大部分的威胁，但仍有小部分不被阻挡，尤其是边界防护竟只阻挡了3成。 因此使用者本身这道防线，其防护意识也相当重要，再者，员工回报网钓事件的比例相当低，需要多建立这方面的观念。 员工要有防护意识不被诱骗，也要知道发现事件应该通报 除了揭露网钓模拟测试统计数据，CISA还特别提供了面对网钓的完整建议与行动，当中归纳为4大面向，并综合整理出多项安全建议措施。 首先，阻挡诱饵（Block the Bait）而言，有3项措施，包括：普遍熟知的基本网络边界安全防护强化，验证电子邮件合法性采用SPF、DKIM与DMARC，以及将封锁清单或网络威胁情报等资讯汇入防火墙规则，以阻挡已知恶意网域、URL与IP位址， 第二，不被诱骗（Don’t take the bait）而言，有两大重点，一是增进员工对于钓鱼邮件的识别能力，另一是要让员工知道在所有通讯平台都应保持警惕。值得留意的是，后者的预防措施过往较少针对员工，但攻击者锁定企业员工已不只是透过邮件进行攻击，利用不同管道的网络钓鱼越来越多。 第三，回报网钓事件（Report the hook）而言，这部分特别重要，毕竟前述调查提到收到网钓信的员工只有13%回报。对此，CISA建议采取的行动，包括：教育员工接收到网钓邮件时的处置方式，不论他们是否上当，其中有两个要点，首先是将该邮件回报给公司的安全团队，并且不要将恶意邮件转寄给公司内其他人，另一方面，组织应变人员要能确认事件与防范入侵范围扩大。 最后，保护整体范围（Protect the waters）而言包括：遵循最小权限，审查并减少可存取关键资料与设备的账号数量，对密码共享与重复使用做出限制，防止权限提升、取消用户不必要的高权限，以及报名免费CISA服务进行网钓演练的评估。同时，还有几项通用的防护机制，例如，做好安全更新、增加端点与EDR防护，以及实施软体限制政策。 特别的是，在此当中还提到一项关键措施，那就是导入可抗网络钓鱼的多因素身份验证（Phishing-Resistant MFA）。 什么是抗网钓MFA？CISA在2022年10月底发布的导入指引曾介绍这类型的做法，当中对于各种MFA在因应网钓威胁也有清楚说明。这份文件的主要目的，是让企业组织能了解不同MFA的强弱，并且向更强健的MFA迈进，最佳结果就是导入抗网钓MFA（如FIDO/WebAuthn验证、基于PKI的方式）。 值得一提的是，在此信息图表上，所列出的一些实践措施大多附上可参考的资源，主要对应到CISA另一份简称为CPG（Cross-Sector Cybersecurity Performance Goals）的网络指引，这份文件可视为比NIST网络安全框架（CSF）更容易上手的指南，主要适用于规模较小与资源较少的组织，并鼓励这些中小企业组织都能实施最低安全基准。例如，在教育员工收到网钓邮件时的处置上，对应的是CPG 4.3，也就是治理与教育训练中的基本网络安全训练，范围是全体员工与合约商；而组织应变人员收到员工通报网钓邮件的处置，对应的是CPG 7.1、7.2，也就是回应与复原的资安事件应变（IR）的报告与计划。 整体而言，CIS通过简易呈现的资讯图表内容，不仅利于美国国内推广，也能作为其他国家企业组织在防范网络钓鱼攻击的参考。 ●每10家企业组织就有8家有至少一人，在CISA模拟网钓测试中成为受害者 ●每10个接受CISA模拟网钓测试的人，就有1人点击恶意链接或下载恶意附件 有70%的恶意程序或恶意链接未被网络边界防护服务阻挡 ●有15%的恶意程序未被端点防护产品阻挡 ●有84%的员工在收到恶意邮件的前10分钟内，回覆了敏感资讯或是点击连结与附件 ●仅有13%的网钓目标员工回报了网络钓鱼事件，这限制了企业组织回应事件或提醒他人注意威胁 美国CISA在2022年10月底曾发布“抗网钓多因素验证”（Phishing-Resistant MFA）导入指引，当中说明了不同MFA的安全强度，鼓励组织向导入抗网钓MFA迈进，也就是采用FIDO/WebAuthn验证，以及基于PKI的方式，至于还无法导入的中小企业，则建议先采用安全强度较低的三种MFA，包括App推送OTP验证码、App推送数字配对通知，以及基于Token的OTP。至于简讯或语音形式的MFA，则过渡到实施更高的MFA的临时方案。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/1XIRffg4fTyj7297LOcB_g 封面来源于网络，如有侵权请联系删除  

美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）咨询报告，警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权，或查看和执行程序。 GX Works3是ICS环境中使用的工程工作站软件，作为从控制器上传和下载程序的机制，排除软件和硬件问题，并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。 10个缺陷中有3个与敏感数据的明文存储有关，4个与使用硬编码的加密密钥有关，2个与使用硬编码的密码有关，1个涉及保护不足的凭证情况。 其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1，可以被滥用，以获得对CPU模块的访问，并获得项目文件的信息，而不需要任何权限。 发现CVE-2022-29831（CVSS评分：7.5）的Nozomi Networks表示，能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块，并可能破坏工业流程。 报告指出：“工程软件是工业控制器安全链中的一个重要组成部分，如果其中出现任何漏洞，对手可能会滥用这些漏洞，最终破坏所管理的设备，从而破坏受监督的工业流程。” CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务（DoS）漏洞的细节，该漏洞源于缺乏适当的输入验证（CVE-2022-40265，CVSS评分：8.6）。 CISA指出：”成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。 在一个相关的发展中，网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器（RCC）972的三个问题，其中最关键的问题（CVE-2022-2641，CVSS评分：9.8）可能导致远程代码执行或引起DoS条件。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/b9D8hfD8H_dkUVhtpXyYnA 封面来源于网络，如有侵权请联系删除