- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
CISA竟想“彻底终结”SQL漏洞
因与目标数据库交互的 web 应用或软件中的输入验证和清理不当,这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管,CISA 和 FBI 建议使用实现写好语句的参数化査询,阻止SQL注入漏洞。 CISA 和 FBI 指出,"如果他们发现代码存在漏洞,高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施,从所有当前和未来软件产品中消除整个缺陷类型。 去年5月, Clop 勒索团伙利用了 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 零日漏洞,该漏洞影响全球数千家组织机构,随后 CISA 和 FBI 立即发布了联合告警 据 CISA 称,SQLi 攻击之所以能够得逞,是因为开发人员没有将用户提供的内容视为潜在的恶意内容。它不仅会导致敏感数据被盗,还会使坏人篡改、删除数据库中的信息或使其不可用。 这最终有助于降低财务和生产力成本以及复杂性 CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施,在软件交付前消除SQL注入(SQLi) 漏洞。
34610编辑于 2024-04-01 - 来自专栏FreeBuf
CISA警告Windows和UnRAR漏洞在野被利用
近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333,它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。 参考来源: https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-and-unrar-flaws-exploited-in-the-wild
69210编辑于 2023-03-30 - 来自专栏FreeBuf
美国CISA发布勒索软件就绪评估(RRA)工具
近日,美国网络安全与基础设施安全局(CISA)发布了一款勒索软件就绪评估(RRA)工具,这是一种新型勒索软件自我评估安全审计工具,是该机构网络安全评估工具(CSET)的新模块。 CISA在该工具的维基页面上写道, “勒索软件就绪评估(RRA)将帮助您了解与不断发展的勒索软件威胁相关的网络安全态势。 CISA表示,RRA可用来抵御日益增长的威胁,因为它在以下这几方面都有效: 帮助组织根据公认的标准和最佳实践建议,并以系统性的、有纪律的和可重复的方式评估其有关勒索软件的网络安全状况; 指导资产所有者和运营商通过一个系统过程来评估他们的运营技术 CISA 建议组织下载并使用CSET勒索软件就绪评估工具,该工具可在该机构的GitHub存储库中找到。
55310编辑于 2023-03-30 - 来自专栏量子发烧友
美国CISA 宣布建立后量子密码学计划
2022 年 7 月 5 日 ,美国网络安全和基础设施安全局 ( CISA ) 宣布建立后量子密码学计划,以统一和推动机构努力应对量子计算带来的威胁。 CISA 主任 Jen Easterly 说:“CISA 不断努力了解和预测包括量子计算在内的不断发展的技术对关键基础设施的风险,也期待与 NIST 和其他主要利益相关者继续合作,以确保公共和私营部门组织准备好有效地管理向后量子密码学的过渡 关于CISA 作为国家的网络防御机构,网络安全和基础设施安全局 (CISA) 领导国家努力了解、管理和降低美国人每天每时每刻都依赖的数字和物理基础设施的风险。 参考链接: [1]https://thequantuminsider.com/2022/07/07/cisa-announces-post-quantum-cryptography-initiative
74820编辑于 2023-02-24 CISA 标记 Digiever NVR 漏洞已被积极利用,允许远程代码执行
美国网络安全和基础设施安全局 (CISA)将影响 Digiever DS-2105 Pro 网络视频录像机 (NVR) 的安全漏洞添加到其已知利用漏洞 ( KEV ) 目录中,并指出有证据表明该漏洞已被积极利用 美国网络安全和基础设施安全局 (CISA) 表示:“Digiever DS-2105 Pro 存在授权漏洞,攻击者可能通过 time_tzsetup.cgi 进行命令注入。” CISA 还建议联邦民事行政部门 (FCEB) 机构在 2025 年 1 月 12 日之前采取必要的缓解措施或停止使用该产品,以保护其网络免受活跃威胁。
18610编辑于 2025-12-25- 来自专栏网络虚拟化
美国CISA建议放弃CC++, 软件生态再起波澜
事件背景: 美国网络安全与基础设施安全局 (CISA) 发布了一份名为 《the case for memory safe roadmaps》的文件,详细介绍了软件厂商应如何过渡到内存安全编程语言 (MSL CISA 认为,内存安全错误经常会造成重大损失,需要加以杜绝;因此敦促企业和技术领导者密切关注软件开发中的内存安全。 那么从工程师的角度来看待该问题的影响: 美国网络安全与基础设施安全局(CISA)建议放弃C/C++来消除内存安全漏洞是有一定道理的。 CISA的建议并不是要完全放弃使用C/C++,而是强调在可能的情况下,应该优先考虑使用更安全的编程语言和技术。例如,使用高级语言和框架可以减少代码中潜在的安全漏洞。 因此,尽管CISA的建议可能会对C/C++的主导地位产生一定的影响,但它们并不会完全取代C/C++。 作为C/C++程序员,避免引入内存安全漏洞的方法有很多。
52410编辑于 2023-12-11 - 来自专栏FreeBuf
CISA 发出警告,攻击者正在利用Windows 漏洞
Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。 值得一提的是,在 PrintNightmare 的技术细节和概念验证(POC)漏洞被意外泄露后,CISA 立刻警告管理员在域控制器和不用于打印的系统上禁用 Windows Print Spooler 服务 上周,CISA 将 Windows 通用日志文件系统驱动程序中另一个特权升级漏洞也添加到野外利用漏洞列表中,此漏洞由 CrowdStrike 和美国国家安全局(NSA)报告,目前微软已经修补。 CISA 给了美国机构三周时间,来修补被积极利用的 CVE-2022-22718 漏洞并阻止正在进行的利用尝试。 据悉,BOD 22-01 约束性指令自发布以来,CISA 已将数百个安全漏洞添加到其积极利用漏洞列表中,同时也在积极敦促美国联邦机构尽快修补这些漏洞以防止网络攻击。
55710编辑于 2022-06-08 - 来自专栏FreeBuf
CISA :恶意软件分析平台Malware Next-Gen全新升级
Malware Next-Gen允许CISA通过自动分析新发现的恶意软件和加强网络防御工作,更有效地支持其合作伙伴。 CISA 网络安全执行助理主任 Eric Goldstein 认为,此次更新的平台升级版有助于加强国家网络安全和关键基础设施。 CISA 鼓励所有企业机构、安全研究人员和个人注册并向平台提交可疑文件以供分析,注册时需要使用 login.gov 账户。 匿名样本提交(图源:BleepingComputer) 不过一般来说,只有 CISA 分析师和其他经过审核的人员才能访问系统生成的恶意软件分析报告。 最后,CISA 警告用户不要试图滥用该系统,同时也请用户确保他们在平台上提交的信息不包含机密数据。
41010编辑于 2024-04-15 - 来自专栏FreeBuf
CISA发布306个已知漏洞目录,命令联邦机构及时修补
近日,美国网络安全与基础设施安全局(CISA)发布了306个被积极利用的漏洞目录,并配套出台了一系列具有强约束力的操作指令,命令美国联邦机构在特定时间范围内及时修补这些漏洞。 CISA命令联邦机构在6个月内修复2021年之前分配的CVE(公共漏洞和暴露出弱点的统称),并在两周内修复其他漏洞。如果发生严重威胁联邦机构安全的事件,这些漏洞修补期限也将随即进行调整。 CISA主任Jen Easterly说,“指令明确要求,联邦民事机构应立即采取行动改善其漏洞管理实践,大幅减少联邦机构遭受网络攻击的风险。” 参考来源 https://securityaffairs.co/wordpress/124181/security/cisa-exploited-vulnerabilities-catalog.html
36910发布于 2021-11-16 - 来自专栏FreeBuf
美国CISA最新收录三大漏洞,涉及谷歌和ChatGPT!
上周五,美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞,具体如下: CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞 CVE-2023 CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞,以确保其网络安全。 参考链接: https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html 精彩推荐
61420编辑于 2023-05-12 - 来自专栏FreeBuf
CISA发出警告:Chrome和Excel解析库存在被利用的漏洞
发现漏洞之后,美国网络安全和基础设施安全局(CISA)立即向联邦机构发布了紧急通知,要求机构在1月23日前完成风险缓解工作,并遵循供应商的指南迅速解决这些漏洞。 目前,美国网络安全和基础设施安全局(CISA)已经将两个识别出来的重大漏洞添加到被利用漏洞(KEV)目录中。 CISA Warns of Exploited Vulnerabilities in Chrome and Excel Parsing Library (hackread.com)
50410编辑于 2024-01-06 - 来自专栏FreeBuf
这是一份来自FBI、CISA、NSA的联合报告
据security affairs消息,联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”的运作咨询报告,并提供了相应的防护建议 针对日益猖獗的BlackMatter勒索软件,FBI、CISA和NSA给出了建议,并督促企业安全人员采纳以下措施,降低BlackMatter勒索软件攻击的风险: 实施检测签名; 使用更安全的密码; 实施多因素认证 )和WDigest身份验证; 为Windows10和Server2016建立凭证保护,为本地安全验证启用微软系统进程保护机制; 尽量减少AD攻击面 此外,他们还提供了不少勒索攻击应急响应的建议: 遵循CISA -多状态信息共享和分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件应急响应检查表; 扫描备份; 立即向FBI分局、CISA或美国特情局办公室报告事件; 立即应用报告中所提到的突发事件最佳实践 ,这份报告由CISA和澳大利亚、加拿大、新西兰和英国的网络安全当局联合发布。
55110编辑于 2023-03-30 - 来自专栏小伍同学的小窝
CISA 已在其 active exploit directory 中添加了 95 个新漏洞
本周,美国网络安全和基础设施安全局(CISA)在其漏洞利用目录中新增了 95 个新的安全漏洞,使可利用漏洞总数达到 478 个。 Linux 内核、Siemens SIMATIC CP、treck TCP/Ip Stack (Eswink技术学习) image.png 该列表包括在 Cisco RV 路由器中发现的五个问题,CISA 2022-20699、cve-2022-20700 和 cve-2022-20708——在 CVss 等级中被评为 10 分之 10,允许攻击者注入恶意命令,增加根权限并在易受攻击的系统上运行任意代码 CISA
77720编辑于 2022-03-08 - 来自专栏FreeBuf
CISA在漏洞利用列表中增加了7个新漏洞
美国网络安全和基础设施安全局(CISA)在其积极漏洞利用的安全问题列表中新添加了7个漏洞,其中包括来自Microsoft、Linux和Jenkins的漏洞。 “具有约束力的操作指令(BOD) 22-01:为了降低已知被利用漏洞的重大风险,建立了已知被利用漏洞目录,将其作为对联邦企业具有重大风险的已知cve的动态列表”,CISA对此解释说。 下面列出了本周添加的七个新漏洞,CISA 要求在 2022年5月16日之前对所有这些漏洞进行修补。 这些漏洞如何被用于攻击 虽然知道这些漏洞会有帮助,但了解它们是如何被积极地用于攻击会更有帮助。 最后,CISA强烈建议所有安全专业人员和管理员查看已知被利用漏洞目录,并在其环境中修补任何漏洞。 参考来源 https://www.bleepingcomputer.com/news/security/cisa-adds-7-vulnerabilities-to-list-of-bugs-exploited-in-attacks
91420编辑于 2022-06-08 CISA事件响应实战经验:漏洞修复与应急响应关键教训
执行摘要CISA在美国联邦民事行政部门机构检测到端点检测与响应工具生成的安全警报后启动了事件响应工作。 CISA从此次事件中总结了三个关键教训:漏洞未及时修复、机构未测试或演练其事件响应计划、EDR警报未持续审查。 关键行动通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防止入侵通过维护、实践和更新事件响应计划来为事件做好准备通过实施全面详细的日志记录并在集中式带外位置聚合日志来为事件做好准备技术细节威胁行为者活动CISA 实现远程代码执行命令与控制使用Stowaway多级代理工具建立C2通道使用PowerShell和bitsadmin下载有效载荷经验教训漏洞未及时修复攻击者在漏洞披露11天后利用了第一个GeoServer漏洞被添加到CISA IRP安全监控缺失活动在环境中保持未被检测状态达三周未持续审查EDR警报某些面向公众的系统缺乏端点保护缓解措施CISA建议组织实施以下缓解措施:漏洞管理建立包含优先级和紧急修补程序的漏洞管理计划优先修补
22700编辑于 2025-10-12- 来自专栏FreeBuf
CISA在其积极利用的漏洞目录中增加了95个新漏洞
美国网络安全和基础设施安全局 (CISA) 本周在其利用漏洞目录中增加了95个新的安全漏洞,使其可利用的漏洞总数达到 478 个。 列表中包括在Cisco RV路由器中发现的五个问题,CISA指出这些问题正被用于实际攻击。这些漏洞于上月初曝光,允许以root权限执行任意代码。 CISA表示,CVE-2022-20701(CVSS分数:9.0)和CVE-2022-20703(CVSS 分数:9.3)没有什么不同,因为它们可以允许攻击者“执行任意代码提升权限、执行任意命令、绕过身份验证和授权保护
62410编辑于 2022-04-11 - 来自专栏FreeBuf
组织修补CISA KEV列表中的漏洞比其他漏洞要快
网络安全和基础设施安全局(CISA)的KEV目录已经运行了近三年,早已迅速成为全球黑客积极利用的软件和硬件漏洞的首选存储库。 而大约40%的组织(即那些不必遵守CISA规定的联邦政府以外的组织)能够在CISA的截止日期前解决漏洞。 报告指出,从KEV列表创建至今,给予漏洞修补的截止日期发生了巨大变化。 早期的这些漏洞通常在添加到KEV目录时就已经存在了,考虑到这种情况,CISA给组织时间解决问题似乎是合理的。 列表上的新漏洞 上周,CISA在KEV列表中增加了两个漏洞。 CISA指出,在攻击过程中,该漏洞可以与CVE-2024-21412链接。
51410编辑于 2024-05-17 - 来自专栏FreeBuf
CISA勒索软件就绪评估工具的不足之处及处理方式
CISA发布的勒索软件就绪评估工具确实存在不足,但安全专业人员可以在此基础上进行构建。 在我们经济和日常生活的每个角落,几乎所有类别的网络安全都遭受了破坏。 在最近一次向公众展示价值的尝试中,美国联邦政府通过网络安全和基础设施安全局(CISA)提供了一款新的“评估”工具。 那么CISA现在是否负责了解勒索软件存在与否?该政府机构是否加入了合规审查的竞争行业?这些都是需要了解的问题。
34710编辑于 2023-03-30 - 来自专栏FreeBuf
CISA和DoE联合警告,小心针对联网UPS设备的网络攻击
2022年2月29日,美国网络安全和基础设施安全局 (CISA) 和能源部 (DoE) 联合发布了关于减轻针对联网的不间断电源 (UPS) 设备的攻击指南。 同时,CISA和DoE警告组织和企业,要小心攻击者使用默认用户名和密码对联网的不间断电源 (UPS) 设备进行攻击。 在必须在线访问UPS设备的情况下,CISA和DoE建议组织实施以下措施: 确保可以通过虚拟专用网络访问设备; 强制执行多因素身份验证; 根据美国国家标准与技术研究院指南使用强密码或密码短语; 此外,CISA 数据中心机房的噩梦 CISA和DoE之所以联合发布警告,很大程度上是因为此前Armis公司研究人员在APC Smart-UPS设备中发现了三个关键的零日漏洞,黑客利用这三个漏洞可接管 Smart-UPS 参考来源 https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html
81120编辑于 2022-04-12 - 来自专栏FreeBuf
NSA、FBI、CISA 联合发布:2022 最容易被利用的漏洞 TOP 12
Bleeping Computer 网站披露,五眼联盟网络安全机构、CISA、美国国家安全局(NSA)和联邦调查局(FBI)联合发布了一份 2022 年最容易被利用的 12 个漏洞清单,五眼联盟网络安全机构呼吁全球各地的实体组织尽快部署补丁管理系统 今年 6 月,MITRE 就已经公布了过去两年中持续存在的 25 个最普遍、最危险的软件漏洞;两年前,MITRE 还分享了最危险的编程、设计和架构硬件安全漏洞;CISA 和 FBI 还发布了 2016
45740编辑于 2023-09-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号