CISA - 竣盟科技

CISA 命令政府機構5月前修補 Apple兩個零時差漏洞；CISA已將漏洞增加到已知遭濫用之漏洞清單

Posted on 2023 年 4 月 12 日2023 年 4 月 12 日 by blogadmin

Apple 於 4 月 7 日發布了修補，以解決兩個零時漏洞，CVE-2023-28205 和 CVE-2023-28206，Apple承認這些漏洞可能已被積極利用以在易受攻擊的設備上執行任意程式碼。

由於這些漏洞也會影響舊設備，Apple 於 4 月 10 日發布了向後移植修補程式的更新，這些更新現在也適用於一些較舊的 Apple 設備。

漏洞詳情

CVE-2023-28205是一個WebKit 中的use-after-free漏洞，具有很高的可利用性。當處理特製的網頁內容時，此漏洞可能允許任意程式碼執行。

CVE-2023-28206是IOSurfaceAccelerator 中的越界寫入問題。該漏洞可能允許攻擊者使用惡意製作的應用程式以內核權限執行任意程式碼。

Apple已通過改進內存管理修復了第一個漏洞，並通過改進輸入驗證修復了第二個漏洞，這些漏洞在美國國家漏洞數據庫中暫沒被配置CVSS 分數。

CISA 命令聯邦機構修補 Apple 設備中的安全漏洞

4 月 11 日，網路安全暨基礎安全局（Cybersecurity and Infrastructure Security Agency, CISA）已指示聯邦機構需在 5 月 1 日之前修補用於入侵 iPhone、Mac 和 iPad 的兩個安全漏洞。

2022 年 11 月發布的一項名為 BOD 22-01 的指令要求聯邦聯邦民事行政機構 ( FCEB ) 保護其系統免受 CISA 已知遭濫用之漏洞清單中列出的所有漏洞的影響。為了遵守這一指令，FCEB 機構現在必須保護 iOS、iPadOS 和 macOS 設備免受這兩個漏洞的影響。FCEB 機構必須在 2023 年 5 月 1 日之前保護其系統免受這些漏洞的影響。

據信這些漏洞目前僅在高度針對性的攻擊中被利用，但建議盡快修補它們以防止未來發生的任何攻擊。

安全更新適用於以下最新版本：

iOS 16.4.1

iPadOS 16.4.1

macOS Ventura 13.3.1

Safari 16.4.1

更新涵蓋廣泛的設備，例如：

iPhone 8 and later

iPad Pro all models

iPad Air 3rd generation and later

iPad 5th generation and later

iPad mini 5th generation and later

Ventura for Macs

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

美國CISA 下令聯邦機構修補被勒索軟體集團濫用的Exchange 伺服器漏洞

Posted on 2023 年 1 月 11 日2023 年 2 月 13 日 by blogadmin

美國網路安全暨基礎設施安全局（CISA）在1月10日在其已知濫用資安漏洞(Known Exploited Vulnerabilities)清單中又增加了兩個漏洞。

第一個漏洞為CVE-2022-41080，屬於Exchange伺服器特權提升的漏洞，可與ProxyNotShell漏洞(CVE-2022-41082)連結起來實現遠端執行任意程式碼。根據總部位於德州的雲端服務業者 Rackspace一周前的證實，Play軟體集團利用它作為零時差漏洞來繞過Microsoft的ProxyNotShell URL 重寫緩解措施從而濫用網頁版郵件管理介面Outlook Web Access（OWA）來遠端執行任意程式碼來攻擊Exchange。資安公司CrowdStrike 將此漏洞利用手法稱為“OWASSRF”，在成功入侵後，駭客便利用遠端存取工具Plink、AnyDesk來維持存取，並在Exchange伺服器上執行反取證技術以試圖隱藏他們的擊行動，這可使其他網路犯罪分子更容易建立自己自訂義的漏洞利用程式或根據自己的目的調整 Play 勒索軟體的工具，從而增加了盡快更新和修補漏洞的緊迫性。

CISA建議擁有落地Exchange 伺服器的組織立即部署最新的 Exchange 安全更新或禁用網頁版郵件管理介面(OWA)，直到他們可以應用 CVE-2022-41080 修補。

CISA 新增到其已知濫用資安漏洞清單中的第二個漏洞是Windows 進階本機程序呼叫（Advanced Local Procedure Call，ALPC）中的特權升級時差漏洞 ( CVE-2023-21674 )，被標記為已在攻擊中被利用，微軟在本月安全更新Patch Tuesday釋出修補，CISA下令聯邦機構必須在 1 月底之前完成修補。CISA 於 2021 年 11 月發布具有約束性作業指引:降低已知被開採漏洞的重大風險(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities)，為了聯邦民事執行機構 (Federal Civilian Executive Branch) 的網路免受添加已知濫用資安漏洞的侵害，可約束其在特定時間內完成修補。此次CISA給予 FCEB 機構三週的時間，直到 1 月 31 日，以修補這兩個安全漏洞並阻止針對其系統的潛在攻擊。CISA 警告說“這些類型的漏洞是惡意網路參與者的常見攻擊媒介，並對聯邦企業構成重大風險。

雖然該指令僅適用於美國聯邦機構，但 CISA 還強烈敦促所有組織修補這些漏洞以避免受到攻擊。自 BOD 22-01 指令發布以來，CISA 在其被在其已知濫用資安漏洞清單中增加了 800 多個安全漏洞，要求聯邦機構以更緊迫的時間表解決這些漏洞，以防止潛在的安全漏洞。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府分享了自 2020 年以來中國國家級駭客最常利用的主要漏洞

Posted on 2022 年 10 月 7 日2023 年 2 月 13 日 by blogadmin

今天美國NSA、CISA 和 FBI這三個聯邦機構在一份聯合諮詢中，詳細說明了自 2020 年以來，最常被中國政府支持的駭客來攻擊別國政府和關鍵基礎設施網路的主要安全漏洞。

該諮詢報告旨在向所有聯邦和州政府機構，特別是涉及關鍵基礎設施的機構和私營部門組織通報顯著的趨勢和常用策略、技術，以及作業程序 (TTPs)，並表示美國國家安全局、中央情報局和聯邦調查局繼續評估中國國家支持的網路活動是對美國政府和民用網路的最大和最具活力的威脅之一。

以下是諮詢中一些細節：

中國國家級駭客正在瞄準美國及其盟國的網路和及關鍵基礎設施網路為目標，以一系列新技術和適應性技術——其中一些對資訊科技部門組織（包括電信提供商）、國防工業基礎 (DIB) 部門組織和其他關鍵基礎設施組織構成重大風險。

中國國家級駭客繼續利用已知漏洞並使用公開可用的工具來瞄準感興趣的網路。NSA、CISA 和 FBI 評估中國政府支持的網絡行為者積極瞄準美國和盟國網路以及軟體和硬體公司，以竊取智慧財產權並開發對敏感網路的存取權。有關最常被利用的CVEs漏洞，請參見下表。

在開採這些漏洞時駭客者常以VPN來隱藏其活動，並針對面向Web的應用程式以獲取初步存取權。上面列出的大多數漏洞都允許駭客悄悄地存取網路，以建立持久性並在其他連接的網路中橫向移動。

那麼，您能做些什麼來更好地保護您的組織免受中國國家級駭客的攻擊呢？該諮詢提供了六種緩解措施：

*盡快更新和修補系統，優先修補本諮詢中發現的漏洞和其他已知的被利用漏洞。

*盡可能使用抗網路釣魚的多因素身份驗證，要求所有使用密碼登錄的帳戶都擁有強大、獨特的密碼，如果有跡象表明密碼可能已被洩露，請立即更改密碼。

*在網路邊緣阻止過時或未使用的協議。

*升級或更換報廢設備。

*轉向零信任安全模型。

*啟用面向 Internet 的系統的強大日誌記錄並監控日誌中的異常活動。

CISA、NSA 和 FBI 強烈鼓勵所有組織審查並應用這些緩解措施，以改善其網路安全狀況並最大程度地降低洩露風險。

了解更多，請參閱完整的公告”Top CVEs Actively Exploited By People’s Republic of China State-Sponsored Cyber Actors”

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國CISA 就 Zabbix監控平台中兩個被積極利用的漏洞發出警報，並將它們加入到「已知被開採漏洞」清單

Posted on 2022 年 2 月 25 日2022 年 2 月 25 日 by blogadmin

#CVE-2022-23131

#CVE-2022-23134

美國網路安全暨基礎架構管理署 (CISA) 在其已知被開採漏洞清單(Known Exploited Vulnerabilities Catalog)添加了兩個影響 Zabbix 監控工具基礎設施的新漏洞，最重要的是，根據具有約束性作業指引:降低已知被開採漏洞的重大風險中(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities)，CISA 命令聯邦民事執行機構 (Federal Civilian Executive Branch)在 2022 年 3 月 8 日之前對所有系統進行漏洞修補，以減少其遭受潛在網路攻擊的風險。

漏洞編號CVE-2022-23131（CVSS 評分：9.8）和 CVE-2022-23134（CVSS 評分：5.3）這些漏洞可能導致整個網路受到威脅，使未經身份驗證的惡意攻擊者能夠提升權限並獲得Zabbix 前端管理員存取權限以及進行配置更改。這兩個漏洞由資安業者SonarSource 的研究員 Thomas Chauchefoin發現，這兩個漏洞均影響 Zabbix Web 前端版本，包括 5.4.8、5.0.18 和 4.0.36，此後，隨著版本 5.4.9、5.0.9 和 4.0.37 的發布，這些問題已得到解決。

這兩個漏洞都是“不安全會話存儲”的結果，允許攻擊者繞過身份驗證並執行任意程式碼。然而，值得指出的是，這些漏洞僅影響啟用安全宣告標記語言(SAML) 中單一登入(SSO) 的身份驗證實例，但專家認為企業或組織有必要審查「已知被開採漏洞」清單並解決其基礎設施中的漏洞。

以下是THOMAS CHAUCHEFOIN發現這兩個漏洞的timeline：

CISA制定了新的網路安全事件和漏洞回應手冊，旨在改進和標準化聯邦及民營機構在面臨威脅時的安全流程

Posted on 2021 年 11 月 17 日2021 年 11 月 17 日 by blogadmin

Key Points:

*CISA 發布事件和漏洞回應手冊，以加強聯邦及民營機構的網路安全

*這是拜登總統改善國家網路安全頒布的行政命令的一部分

*CISA建議各機構應使用手冊來塑造整體防禦性網路行動

11月16日(週二)美國網路安全暨基礎設施安全局(CISA)發布了新的指導手冊，其中包括針對面臨全資威脅時聯邦及民營機構的標準化回應程序。新的指導方針是CISA根據拜登總統在5月份頒布的網路安全行政命令而制定的，據了解，指導手冊中的範例為聯邦及民營機構提供了一套標準程序，以應對影響它們網路的漏洞和資安事件，手冊涵蓋了機構應如何管理與事件和漏洞相關的網路安全流程——包括準備(preparation)、調查(investigation)、遏制(containment)、報告(reporting)和補救(remediation)。CISA 在宣布手冊時表示，聯邦及民營機構應該使用這些手冊來塑造他們的整體防禦網路行動。

手冊以CISA 約束性操作指令 22-01( Binding Operational Directive 22-01 ) 為基礎，標準化了在應對這些對聯邦政府、私營和公共部門構成重大風險的漏洞時應遵循的流程，CISA強烈建議公營和私營機構的合作夥伴檢閱手冊，以評估他們的漏洞和事件回應實踐。手冊內容包括事件回應手冊(Incident Response Playbook)適用於涉及已確認的惡意網路活動且已宣布或尚未合理排除的重大事件，漏洞回應手冊(Vulnerability Response Playbook ) 適用於任何被對手觀察到用於獲取未經授權進入電腦資源的漏洞。

CISA 敦促各機構應使用這些手冊來幫助塑造整體的防禦性網路行動，以提高整體彈性和確保一致性和有效的回應。