CISA 对华硕软件缺陷发出警告,您需要采取以下措施来确保安全
CISA 在 KEV 中添加了关键的华硕实时更新供应链危害 (CVE-2025-59374),与 2021 年之前分发的被篡改的安装程序相关 该漏洞源自 2018-2019 年的事件,当时攻击者在华硕更新服务器上植入了恶意代码 联邦机构必须在 1 月 7 日之前进行补救,安全公司敦促私人组织跟进 美国网络安全和基础设施安全局 (CISA) 最近在其已知利用漏洞 (KEV) 目录中添加了一个新的严重漏洞,这意味着该漏洞已被滥用。 该漏洞困扰着 Asus Live Update,这是一种预装在许多华硕笔记本电脑和台式机上的实用工具。它会检查华硕服务器的更新并自动安装,包括 BIOS 文件、固件、驱动程序等。 根据国家漏洞数据库(NVD)的数据,该客户端的某些版本“通过供应链妥协引入了未经授权的修改”。这些修改后的版本允许威胁行为者在满足特定目标条件的设备上“执行意外操作”。还值得一提的是,Live Update 客户端已于 2021 年 10 月终止支持。 你可能喜欢 属于 AISURU 吗? 该错误现已跟踪为 CVE-2025-59374,严重程度评分为 9.3/10(严重)。 黑客新闻 指出该漏洞实际上是指 2019 年 3 月发现的供应链攻击。当时,华硕承认一个高级持续威胁组织在 2018 年 6 月至 11 月期间破坏了其部分服务器。 华硕当时指出,“通过对我们的实时更新服务器进行复杂的攻击,少数设备被植入了恶意代码,试图针对非常小的特定用户组”,并发布了 3.6.8 版本来解决该缺陷。 […]
CISA 标记了 WatchGuard 防火墙的严重缺陷,导致 54,000 个 Firebox 遭受无登录攻击
支撑2025年11月13日Ravie Lakshmanan漏洞/网络安全 美国网络安全和基础设施安全局 (CISA) 周三 额外 影响 WatchGuard Fireware 的一个严重安全缺陷,其已知被利用的漏洞 (凯维)目录,基于积极利用的证据。 该漏洞为 CVE-2025-9242(CVSS 评分:9.3),这是一个越界写入漏洞,影响 Fireware OS 11.10.2 至 11.12.4_Update1(含)、12.0 至 12.11.3(含)以及 2025.1。 CISA 在一份公告中表示:“WatchGuard Firebox 的操作系统进程中存在越界写入漏洞,可能允许未经身份验证的远程攻击者执行任意代码。” watchTowr Labs 上个月分享了该漏洞的详细信息,该网络安全公司表示,该问题源于 IKE 握手过程中使用的识别缓冲区缺少长度检查。 安全研究人员 McCaulay Hudson 指出:“服务器确实会尝试进行证书验证,但该验证是在易受攻击的代码运行后发生的,从而允许我们的易受攻击的代码路径可以在预身份验证时到达。” 目前还没有关于如何利用安全缺陷以及此类活动的规模的详细信息。根据 数据 Shadowserver 基金会的数据显示,截至 2025 年 11 月 12 日,仍有超过 54,300 个 Firebox 实例容易受到该严重漏洞的影响,低于 10 月 19 日最高的 75,955 个实例。 […]
微软的2025年2月修补程序修复了56个漏洞
微软在2025年2月的补丁周二发布中解决了56个漏洞,其中包括目前在野外利用的两个漏洞。该公司仅针对三个关键的远程代码执行漏洞发布了补丁程序,并且在发布时没有评估为关键的零日漏洞。这标志着微软连续第五个月在Patch周二发布了零日漏洞,而没有在释放时被列为严重的严重。 CVE-2025-21391是野外攻击者针对的特权脆弱性的另一个高度。它会影响Windows存储服务,并允许攻击者无需用户交互即可删除系统上的目标文件。弱点被确定为“ CWE-59:文件访问之前的链接分辨率不正确”。这种漏洞使攻击者能够通过创造性地滥用符号链接来升级特权。 Rapid7的Barnett警告说:“假设删除任意文件的影响将仅限于数据丢失或拒绝服务是错误的。” CVE-2025-21377解决了导致NTLMV2哈希披露的脆弱性,从而使攻击者能够作为目标用户身份验证。利用需要与恶意文件的最小用户互动。巴内特补充说:“这种商标的语言鸭子和编织可能是微软说’如果我们再告诉你的,我们会放弃游戏。” Acros Security,Securefy和Cathay Pacific之类的公司也已在该咨询中归功于。 CVE-2025-21194中描述了影响某些Microsoft Surface设备的安全功能旁路。这种漏洞可能会导致容器从UEFI主机机器逃脱并损害管理程序。 Surface Pro 10和11系列不受此漏洞的影响。 Microsoft用户可以通过Windows更新接收更新或手动应用它们。 CVE-2025-21379是另一个关键的远程代码执行漏洞,影响Windows DHCP客户端服务。剥削需要拦截Windows DHCP客户端及其请求的资源之间的拦截并可能修改通信,这表明加密或其缺失方面存在弱点。这与Microsoft的DHCP实现规范一致。 CVE-2025-21381是Excel中关键的远程代码执行漏洞,Outlook Preview Pane用作攻击向量。剥削仅通过查看带有恶意电子表格的电子邮件而发生,尽管攻击者可能会使用各种方法欺骗用户访问恶意文件。 1740346093 2025-02-23 21:16:00 #微软的2025年2月修补程序修复了56个漏洞
CISA 主任Jen Easterly 将于 1 月 20 日辞职:安全社区的反应
网络安全和基础设施安全局 (CISA) 本周证实,该局局长 Jen Easterly 将于 2025 年 1 月 20 日就职日辞职。 随着前总统、现任当选总统唐纳德·特朗普第二次宣誓就职,伊斯特利将与总统乔·拜登任命的所有其他 CISA 工作人员一起辞职,其中包括副主任尼廷·纳塔拉詹。 伊斯特利是该机构自 2018 年成立以来的第二任主任,于 2021 年 7 月被任命为 CISA 首任主任克里斯·克雷布斯 (Chris Krebs),此前该机构首任主任克里斯·克雷布斯 (Chris Krebs) 因拒绝时任总统关于选举舞弊的指控而于 2020 年 11 月 17 日被特朗普解雇。 伊斯特利此前曾在美国陆军服役 20 年,并于 2009 年帮助建立了美国网络司令部 (USCYBERCOM)。她还于 2011 年 5 月至 2013 年 10 月期间担任国家安全局 (NSA) 反恐副主任,以及2013 年 10 月至 2016 […]
CISA 警告称,Windows 漏洞可能被用于信息窃取恶意软件攻击
CISA 已命令美国联邦机构确保其系统安全,防范最近修补的 Windows MSHTML 欺骗零日漏洞,该漏洞遭到 Void Banshee APT 黑客组织利用。 该漏洞(CVE-2024-43461) 在本月的补丁星期二被披露,微软最初将其归类为未被攻击利用。然而,微软在周五更新了该通报,确认在修复之前,该漏洞曾被攻击利用。 微软透露,攻击者在 2024 年 7 月之前利用了 CVE-2024-43461,作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。 “我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序,从而打破了这一攻击链,”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新,以全面保护自己。” 报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus 告诉 BleepingComputer,Void Banshee 黑客在零日攻击中利用该漏洞安装了窃取信息的恶意软件。 该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件,在未修补的 Windows 系统上执行任意代码。 “具体缺陷存在于 Internet Explorer 在文件下载后提示用户的方式中,” ZDI咨询 解释道。“精心设计的文件名可能会导致隐藏真正的文件扩展名,从而误导用户相信该文件类型是无害的。攻击者可以利用此漏洞在当前用户的上下文中执行代码。” 他们利用 […]
CISA 发布新的 PAC 安全警告
美国网络安全和基础设施安全局上周表示,一系列可远程利用的漏洞正在影响飞利浦 Vue 图片存档和通信系统 12.2.8.410 之前的版本。这些漏洞可能允许网络犯罪分子查看或修改数据、获取系统访问权限、执行代码、安装未经授权的软件或以其他方式影响数据完整性和系统可用性。 周二,在检查了几个已披露的漏洞后,开发人工智能威胁情报工具的 Cyble 的安全研究人员表示,美国和巴西是受漏洞影响最大的两个国家。 为何重要 CISA 在其 咨询 TAS Health(新西兰 Te Whatu Ora 的一部分)和荷兰公司 Verweijen ICT(一家为中小型企业提供云服务和网络服务的公司)的系统管理员报告了这些漏洞。 Philips Vue PACS 面临的威胁是: 越界书写。 不受信任的数据的反序列化。 不受控制的资源消耗。 权限管理不当。 使用默认凭证。 弱密码要求。 向未经授权的行为者泄露敏感信息。 飞利浦在 7 月 18 日的一份声明中表示,它尚未收到“任何有关患者受到伤害、利用这些问题或与这些问题相关的临床使用事件的报告”。 与此同时,Cyble 在 7 月 23 日的报告中表示 报告, 现在,剥削的威胁已广为人知,医疗保健行业面临的危险更大。 “医疗保健和公共卫生部门很大程度上依赖于 [PACs] 由于它们在这种环境下的行动性质;同时,通过 PAC 执行的行动成为一个有利可图的目标。” 具体而言,飞利浦 VUE PAC 的漏洞,加上单个系统的互联网暴露,可能会被威胁行为者迅速利用,造成数据泄露,损害患者的隐私,或破坏医疗机构和患者的安全和护理。 该公司指出,美国和巴西拥有最多的互联网系统。 飞利浦在其 […]
WEDI 对 CISA 网络事件报告规则提出反馈
电子数据交换工作组上周针对国土安全部发布的有关网络安全报告要求的拟议规则发表了评论。 为何重要国土安全部网络安全和基础设施安全局最近发布的拟议规则制定通知 关键基础设施网络事件报告法案 (CIRCIA) 报告要求。 在其 致中国钢铁协会的信WEDI 旨在促进各利益相关方之间的合作,以帮助利用专业知识和信息来提高整个医疗保健领域数据驱动的效率、质量和成本的承诺。该组织告诫国土安全部要谨慎制定有关已经负担过重的卫生组织的强制报告规则。 鉴于医疗保健机构的行政负担,WEDI 敦促 CISA 认识到及时报告的挑战。该组织表示,虽然它“强烈支持 CIRCIA 应对影响国家关键基础设施部门的网络攻击日益增加的风险的意图”,但它也敦促 CISA“考虑受保实体在遭受网络攻击期间和之后面临的挑战。我们建议 CISA 在要求受影响实体及时提供准确、全面的信息与避免在组织经历高度破坏性事件时对其施加繁重的行政负担之间取得适当的平衡。” 在其他建议中,WEDI 呼吁国土安全部: 确保 CISA 适当保护提交的信息。 WEDI 表示:“至关重要的是,CISA 采取必要措施保护涵盖实体为响应 CIRCIA 报告要求而提供的所有信息,并应用最高级别的安全控制,以防止这些信息被不当访问。”并指出此类数据可能包括“与涵盖实体的内部网络、基础设施相关信息和安全控制有关的专有敏感信息”。 保持报告要求一致。 WEDI 呼吁 CISA 确保其时间表和要求与其他联邦机构(如 HHS 及其民权办公室)保持一致,以减轻受保实体面临的行政负担,这些实体可能必须向多个执法机构提交事件报告。它表示:“受 HIPAA 和 CIRCIA 覆盖的实体只需通过 OCR 报告一次,即可遵守这两项规则。” 为其 72 小时报告规则增添灵活性。 信中写道:“网络攻击对遭受攻击的实体来说具有破坏性和混乱性。我们仍然认为,对于许多此类攻击的受害者来说,可能需要超过 72 小时才能完全确定初始报告所需的所有数据元素。” WEDI 呼吁留有回旋余地,以便实体“在 72 小时内尽其所能提交初步报告,同时允许在获得更多信息和分析后提交更新。” 认识到勒索软件攻击并不总是意味着可执行的违约。 WEDI 要求政府“制定政策,规定当受监管实体部署了公认的安全程序且未访问任何 PHI 时,勒索软件不被视为数据泄露。”如果数据未被未经授权的实体访问,且受监管的医疗保健组织已尽最大努力部署“公认的安全程序并制定了安全政策和程序”,则受监管实体“不应被视为经历了数据泄露”。 […]
医院向 CISA 致函:简化网络事件报告
美国医院协会 提高 对网络安全和基础设施安全局根据《关键基础设施网络事件报告法》提出的医院报告要求的担忧。 7 月 3 日,AHA 致信 CISA 主任 Jen Easterly,称针对医院提出的要求“与其他联邦机构的要求重复,并给医院带来了不必要的负担”。 3 月 27 日,CISA 为医疗机构提出了网络安全事件报告的新规则。根据该规则,医院和医疗系统必须在特定时间范围内向该机构报告任何涉及的网络事件、为应对勒索软件攻击而支付的赎金以及与先前提交的报告相关的任何重要新信息。 AHA 强调了该规则存在的几个问题,并敦促该机构做出几项修改,指出: 联邦机构需要确保数据保持匿名。 报告规则应该明确并适用于整个卫生部门,因为它们相互关联。 报告要求应该简化,因为它们给医院和卫生系统带来了沉重的负担和隐私风险。 应该更清楚地解释处罚及其适用时间。 惩罚过于严厉,尤其是当该组织成为恶意团体或民族国家攻击的受害者时。 AHA 要求该组织简化医院的报告负担并同意“统一”的报告流程。 1719993444 #医院向 #CISA #致函简化网络事件报告 2024-07-02 20:25:20
CISA 更新“安全明日系列工具包”以增强关键基础设施的应对能力
美国网络安全和基础设施安全局 (CISA) 更新了“安全明日系列工具包”,以帮助提高关键基础设施所有者和运营商的准备程度。这些利益相关者面临着多重挑战,因为社会、技术、经济、环境和政治变化正在以更快的速度带来新的和不断演变的风险。同时,运营、业务和其他优先事项的需求争夺着他们的时间和注意力,却以牺牲能够专注于未来的弹性和安全要求为代价。 CISA 战略预测副总监 Erin Walsh 表示:“由于存在多种风险因素,而且需要占用每个人的时间,因此提出正确的问题对于获得更好的洞察力至关重要。” 写道 在新闻帖子中写道。“虽然每个人都希望为即将发生的一切做好准备,但围绕不确定的未来进行讨论可能会让人望而生畏,而缺乏重点的方法可能会导致模糊和不可行的战略,从而使组织及其员工的安全性和弹性降低。” 安全明日系列工具包旨在 帮助缩小差距 通过组织和促进这些讨论,CISA 每年都会选择三个可能对多个国家关键职能造成重大影响的主题,并深入研究这些主题如何导致影响关键基础设施弹性和安全的新兴和不断演变的风险。此次更新引入了三个新主题——信息和通信技术供应链弹性;先进制造业;以及水资源可用性。 这些主题补充了现有的“安全明日系列工具包”库,该库涵盖脑机接口、合成生物学、量子技术、匿名和隐私、信任和社会凝聚力以及数据存储和传输。 Walsh 补充说,CISA 利用这个知识库构建了一套战略预见活动工具包。其理念是将行之有效的方法、高质量的提示和大量支持材料打包在一起,以便关键基础设施合作伙伴能够自信地将具有特定领域、地区和行业专业知识的参与者聚集在一起,并有效地制定相关且可操作的风险缓解策略。安全明日系列工具包产品有助于提炼和区分每个主题中出现的真正问题,然后参与者根据实际情况进行分析。 “工具包中的每项活动都经过精心设计,让活动主办方能够以有趣、富有挑战性和富有成效的方式与关键基础设施社区互动,”Walsh 详细介绍道。“从可以在一个上午或下午的会议中进行的矩阵游戏,到整合多个主题以突出系统和紧急风险的为期一天的情景研讨会,工具包中的活动针对不同程度的参与和时间投入。希望这些活动能够为参与者带来更好的风险缓解见解,让他们可以将其带回组织,同时加强网络以参与进一步的规划和实施。” 在题为《场景研讨会 3 概要:场景研讨会 – 场景概要》的出版物中,CISA 注意到 研讨会采用假设情景叙述来帮助参与者探索未来三到七年关键基础设施所有者和运营商的运营环境可能如何演变,以及这种演变可能如何影响关键基础设施系统的安全性和弹性。 研讨会提出的三个情景围绕近期三个主题——先进制造业、信息和通信技术、供应链弹性和水资源可用性——未来可能的变化。 CISA 详细说明,美国不同地区越来越受到水资源过多或过少的威胁。加剧管辖区面临的水资源挑战的三个问题是:气候变化的影响日益加剧;水利基础设施老化;以及公众信任度下降。 迄今为止,解决这些问题的努力还不够。例如,为减少温室气体排放和应对气候变化而转向清洁能源的努力因电动汽车普及速度低于预期、劳动力发展和再培训方面的挑战以及新材料和更环保的工艺未能大规模采用而受到阻碍。一个更加温和的未来将需要付出巨大的努力来解决这些问题。 第二种情景围绕 2020 年代展开,美国将进入新一轮大国竞争时代,主要动力来自对技术领先地位的追求。控制半导体等关键技术的努力导致国际上出现部分脱钩、关键行业生产转移到国内以及供应链紧张。 CISA 发现,到 2030 年,尽管美国在关键技术制造的本土化方面取得了相当大的进展,但如果没有政府的永久性补贴和持续的保护主义,美国过去十年的政策和投资是否可持续仍是一个不确定的未来。此外,保护主义的贸易和投资政策限制了美国进入多个国际市场。与此同时,人工智能的出现重塑了网络攻防格局。 第三种情景考察了门罗的情况,该市宣布其剩余供水量不足六个月,因此必须大幅减少供水量,这将对居民和企业产生重大影响。“然而,门罗只是美国众多可能面临供水危机的城市之一。供水系统面临许多压力,但其中一个被低估的压力是能源部门的需求,”CISA 补充道。 随着美国推行清洁能源转型(即投资替代燃料、光伏、电池等,以减少碳排放),能源需求正在增加,并且至少在短期内,这导致对传统能源的依赖增加。 CISA 简报指出:“能源生产是一个耗水过程,生产必要设备也是如此。”“该情景虚构文章的作者主张更全面地处理水资源问题:研究需求并探索跨辖区(它们从同一水源取水)和部门的解决方案,其中最关键的是能源和农业部门。” 上个月,国土安全部长亚历杭德罗·N·马约卡斯提供了战略指导,以加强关键基础设施的安全性和弹性。该指令源自总统乔·拜登的国家安全备忘录 (NSM-22),指示联邦机构、关键基础设施所有者和其他利益相关者关注特定风险领域。此外,它概述了 NSM-22 中定义的 2024-2025 年国家关键基础设施风险管理周期的优先事项。这项计划在未来两年内进行的全面努力旨在保护美国人日常生活所必需的关键基础设施系统。 安娜·里贝罗 工业网络新闻编辑。Anna Ribeiro 是一名自由记者,在安全、数据存储、虚拟化和物联网领域拥有超过 14 年的经验。 […]
CISA 牵头开展桌面演习,重点关注遭受黑客攻击的人工智能
网络安全和基础设施安全局表示,上周在位于弗吉尼亚州雷斯顿的微软工厂的联合网络防御合作组织的协调下,与私营部门举行的首次桌面会议支持制定跨部门人工智能安全事件合作手册,该手册将于年底前发布。 为何重要 该机构在 6 月 14 日的一份声明中表示,JCDC 内部的一项专门规划工作,即 CISA 的公私合作伙伴关系模式,推动人工智能提供商、安全供应商和关键基础设施所有者和运营商之间的准备合作,解决国家关键基础设施中人工智能系统的风险、威胁、漏洞和缓解措施。 超过 50 个组织参加了最近为时四小时的准备演习,分享了他们安全采用人工智能来保护关键基础设施免受新出现威胁并实践协作响应的策略。 HiddenLayer 首席执行官兼联合创始人 Chris Sestito 表示:“在受控环境中模拟针对人工智能系统的对抗性威胁是一个非常宝贵的训练场,可以让安全团队了解当今存在的漏洞和威胁。” 其他参加会议的科技公司包括亚马逊网络服务、思科、IBM、微软、NVIDIA、OpenAI、Palantir、Palo Alto Networks、Protect AI 等领先供应商。此外,还有联邦调查局、国家安全局、国家情报总监办公室、国防部和司法部。 伊斯特利在声明中表示:“这次演习标志着我们朝着降低人工智能带来的风险的共同承诺又迈出了一步。” Palo Alto Networks 公共政策和政府事务副总裁 Sandy Reback 补充道:“随着人工智能的应用不断扩大,我们看到网络威胁环境的复杂性也随之增长。” “在此类关键演习上进行公私合作将更好地保护我们的数字生活方式。” 美国联邦调查局网络部门助理主任布莱恩·沃恩德兰 (Bryan Vorndran) 表示,这次演习体现了该机构对合作伙伴关系的承诺。 CISA 表示,在开发 AI 产品时需要采用安全设计方法,这也是除事件响应协作和桌面演习实践之外的一个重要主题。 OpenAI 安全主管马特·奈特 (Matt Knight) 在声明中承认:“这些合作有利于我们安全地开发和部署人工智能技术的努力。” JCDC 计划于 2024 年进行第二次演习,该演习将纳入美国关键基础设施中与系统集成商相关的漏洞,以便在将 AI 技术应用到现有系统时实现互操作性。AI 集成商帮助组织采用 AI 并创建更大的 AI […]