0518-CISA 漏洞目录再添七个安全漏洞-澳大利亚发布《关键基础设施资产类别定义指南》

点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

CISA 漏洞目录“再添”七个安全漏洞；

安全资讯

澳大利亚发布《关键基础设施资产类别定义指南》；
法国大型制造企业遭网络攻击，三大工厂被迫关闭超一周；
工业路由器面临风险：新漏洞可控制数十万台设备和OT网络；
2022 年苹果因隐私和安全问题封杀近 170 万个应用程序；

特别关注

CISA 漏洞目录“再添”七个安全漏洞；

标签：CISA，漏洞目录

Security Affairs 网站披露，美国网络安全和基础设施安全局（CISA）在其已知被利用的漏洞目录中增加了七个新安全漏洞。

CVE-2023-25717：Cybir 的研究人员发现 Ruckus 无线接入点（AP）软件在 web 服务组件中存在一个未知漏洞。一旦用户在 AP 上启用了 web 服务组件，攻击者就可以执行跨站点请求伪造（CSRF）或远程代码执行（RCE）。此漏洞会影响 Ruckus ZoneDirector、SmartZone 和 Solo AP，用户应尽快安装补丁；

CVE-2021-3560：Red Hat Polkit 通过绕过 D-Bus 请求的凭据检查，包含一个不正确的授权漏洞，攻击者可以利用该漏洞进行权限升级。polkit 是一个应用层面的工具包，用于定义和处理允许非特权进程与特权进程对话的策略，它被默认安装在几个 Linux 发行版上。

CVE-2014-0196：Linux 内核在 n_tty_write 函数中包含一个竞争条件漏洞，该漏洞允许本地用户通过长字符串的读写操作造成拒绝服务或获得特权。；

CVE-2010-3904：Linux 内核在可靠数据报套接字（RDS）协议实现中包含一个不正确的输入验证漏洞，该漏洞允许本地用户通过精心使用 sendmsg 和 recvmsg 系统调用来获得权限；

CVE-2015-5317：Jenkins用户界面（UI）包含一个信息泄露漏洞，该漏洞允许用户在“指纹”页面上查看作业和构建的名称。

CVE-2016-3427：Oracle Java SE、Java SE Embedded 和 JRockit 中的 JMX 子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件，影响数据的保密性，完整性及可用性。

攻击者可通过沙盒 Java Web Start 应用程序和沙盒 Java 小程序利用该漏洞，也可以通过向指定组件中的 API 提供数据来利用漏洞。受到影响版本包括 Oracle Java SE 6u113 版本，7u99 版本，8u77 版本，Java SE Embedded 8u77 版本，Jrockit R28.3.9 版本；

CVE-2016-8735：Apache Tomcat 中存在一个远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码。一旦攻击者使用 JmxRemoteLifecycleListener 并且获得访问 Java 管理扩展（JMX）端口的权限，就可以轻松利用该漏洞允，执行远程代码。受影响版本包括 Apache Tomcat 6.0.48 之前的版本，7.0.73 之前的7.x版本，8.0.39 之前的 8.x 版本，8.5.7 之前的 8.5.x 版本，9.0.0.M12 之前的 9.x 版本。

根据约束性操作指令（BOD）22-01的要求，所有联邦民事行政部门机构(FCEB)在被添加到 CISA 的已知利用漏洞(KEV)目录后，必须在到期日前解决已识别的漏洞，保护其系统免受此安全漏洞的影响，降低已知被利用漏洞的重大风险。此外，网络安全专家建议私营组织也应该审查 CISA 目录中的漏洞，并解决其基础设施中存在的漏洞。

最后，CISA 命令联邦机构在 2023 年 6 月 2 日之前修复上述漏洞！

信源：https://securityaffairs.com/146285/hacking/known-exploited-vulnerabilities-catalog-ruckus.html

安全资讯

澳大利亚发布《关键基础设施资产类别定义指南》；

标签：澳大利亚，关键基础设施资产类别定义指南

澳大利亚网络和基础设施安全中心（CISC）日前发布《关键基础设施资产类别定义指南》，适用于所有相关的基础设施行业。指南简化了关键基础设施责任主体和直接利益相关方的义务，有助于提高运营弹性、降低复杂性。

作为类别定义文件，指南对关键基础设施资产分类提供了指导意见。关键基础设施资产的定义可参见2018年《关键基础设施安全法案》（SOCI法案），或者《SOCI定义规则》（LIN 21/039）。指南要求资产所有者和经营者参考《SOCI法案》和《SOCI定义规则》，确定他们的资产具体符合哪一项关键基础设施资产的定义。

指南涵盖了10大类别，共计22个关键基础设施行业。其中通信业（含广播、域名系统、电信）；金融业（含银行、金融市场基础设施、保险和养老金）；能源业（含电力、能源市场运营商、天然气和液体燃料）；以及运输业（含航空、货运基础设施、货运服务、港口和公共交通）四大类涵盖了16个行业。其他六类关键行业则分别对应6个行业，具体包括数据存储或处理、水和污水行业、国防工业、医疗保健业、高等教育和研究、食品杂货业。

信源：https://www.secrss.com/articles/54692

法国大型制造企业遭网络攻击，三大工厂被迫关闭超一周；

标签：法国

国际电子产品制造商Lacroix日前遭受网络攻击，致使其全球超三分之一的工厂暂时关闭。该公司称目前事件已经得到控制，但受到影响的生产工厂可能继续关停一周。

该公司表示，其本地基础设施已遭黑客加密，目前正在对事件开展调查。

Lacroix主要为工业客户生产智能电子产品，上一财年报告的收入为7.08亿欧元，其中绝大部分（5.22亿欧元）来自电子产品部门。公司总部位于法国西部卢瓦尔河地区的博普雷欧，在欧洲、北非和美国拥有4000多名员工。

Lacroix公司披露在上周末遭遇到网络攻击，旗下8个制造工厂中有3个受到了影响。

受影响的3个工厂包括位于博普雷欧的法国制造中心，位于威利希市的德国工厂以及位于Zibra的突尼斯工厂。这3个工厂占公司总产量的19%，在目前的事件调查期间已全部关闭。根据初步计划，各处工厂将于5月22日重新开放。

在关闭期间，Lacroix公司将实施备份，并通过分析检验是否存在数据泄露。

目前尚不清楚该公司是否收到勒索要求或已经支付了赎金，但从其中涉及数据加密和泄露来看，此次事件很有可能属于勒索软件攻击。

该公司希望尽快恢复工厂生产，并在一份声明中表示“尽管目前公布确切恢复时间还为时过早，但Lacroix已经定下了在5月22日星期一重新开放的目标。”

勒索软件攻击对制造业设施造成的功能性破坏，往往会给受害企业带来巨大的成本损失。

2019年，挪威铝业公司Norsk Hydro就曾遭受Locker Goga勒索软件攻击，多处工厂被迫暂时关闭。该公司拒绝支付赎金，并最终因此损失达数千万美元。

信源：techmonitor.ai

工业路由器面临风险：新漏洞可控制数十万台设备和OT网络；

标签：SideWinder

以色列工业网络安全公司OTORIO在上周的黑帽亚洲2023会议上公布了与三家工业蜂窝路由器供应商有关的云管理平台中的一些安全漏洞，这些漏洞可能使操作技术（OT）网络受到外部攻击。

在会议上总计公布了11个漏洞，这11个漏洞允许远程代码执行和控制数十万台设备和OT网络（在特定情况下），甚至是那些没有主动配置使用云的设备。

具体来说，这些漏洞存在于Sierra Wireless、Teltonika Networks和InHand Networks提供的基于云的管理解决方案中，用于远程管理和操作设备。

利用这些漏洞可能会给工业环境带来严重风险，使攻击者绕过安全层，并渗出敏感信息，在内部网络上远程实现代码执行。

更令人担心的是，这些问题可能被武器化，以获得对网络中设备的未授权访问，并执行恶意操作，例如使用提升的权限关闭。

根据三种不同的攻击载体，通过其基于云的管理平台，这些攻击载体可被利用来破坏和接管云管理的IIoT设备：

薄弱的资产注册机制（Sierra Wireless）：攻击者可以扫描连接到云端的未注册的设备，通过利用AirVantage在线保修检查工具获得它们的序列号，将它们注册到他们控制的账户中，并执行任意命令。
安全配置的漏洞（InHand Networks）：未经授权的用户可以利用CVE-2023-22601、CVE-2023-22600和CVE-2023-22598的命令注入漏洞，以root权限获得远程代码执行，发布重启命令，并推送固件更新。
外部API和接口（Teltonika Networks）：攻击者可以滥用远程管理系统（RMS）中发现的多个问题，”暴露敏感的设备信息和设备凭证，实现远程代码执行，暴露网络上管理的连接设备，并允许冒充合法设备。”

影响Teltonika Networks的六个漏洞（CVE-2023-32346、CVE-2023-32347、CVE-2023-32348、CVE-2023-2586、CVE-2023-2587和CVE-2023-2588）是在与Claroty合作进行的 “全面研究 “后发现的。

攻击者成功利用这些工业路由器和物联网设备可以对被攻击的设备和网络造成一系列影响，包括监控网络流量和窃取敏感数据，劫持互联网连接和访问内部服务。

OTORIO说，云管理的设备带来了巨大的供应链风险，攻击者可以通过入侵一个供应商作为后门一次扫描访问多个OT网络。

在网络安全公司披露无线工业物联网（IIoT）设备中的38个安全漏洞三个多月后，这一发展可能为攻击者提供通往内部OT网络的直接路径，并使关键基础设施面临风险。

安全研究员Roni Gavrilov说：随着IIoT设备的部署变得越来越流行，必须意识到他们的云管理平台可能成为攻击者的目标。一个被利用的IIoT供应商平台可以作为攻击者的支点，同时访问成千上万的环境。

信源：https://thehackernews.com/2023/05/industrial-cellular-routers-at-risk-11.html

2022 年苹果因隐私和安全问题封杀近 170 万个应用程序；

标签：苹果，隐私和安全

苹果公司的App Store团队在2022年阻止了超过20亿美元的欺诈交易，并因违反隐私、安全和内容政策而阻止了近170万个应用程序提交。

此外，为了打击账户欺诈行为，苹果公司还终止了42.8万个有潜在欺诈行为的开发者账户，停用了2.82亿个有欺诈行为的客户账户，并阻止了1.05亿个有欺诈行为嫌疑的开发者账户创建。

去年，App Store团队还保护苹果用户免受数十万个不安全应用程序的影响，拒绝了近40万个侵犯隐私的应用程序，例如试图在未经用户同意或允许的情况下收集用户的个人数据。

另有15.3万个因误导用户和抄袭已提交的应用程序，约2.9万个因使用无证或隐藏功能而被阻止进入App Store。