CISA發布增強開源安全性的計劃

網絡安全和基礎設施安全局(CISA)已識別出兩個重大漏洞，并將其添加到其已知的可利用漏洞(KEV)目錄中。這些漏洞涉及Google Chrome中最近修補的缺陷以及影響開源Perl庫“Spreadsheet::ParseExcel”的錯誤，該庫專為讀取Excel文件中的信息而設計。

美國網絡安全和基礎設施安全局 (CISA) 敦促制造商完全廢除互聯網暴露系統上的默認密碼，理由是攻擊者可能會利用這些嚴重風險來獲得對組織的初始訪問權限并在組織內橫向移動。在上周發布的警報中，該機構譴責隸屬于伊斯蘭革命衛隊（IRGC）的伊朗威脅行為者利用帶有默認密碼的操作技術設備來訪問美國的關鍵基礎設施系統。默認密碼是指嵌入式系統、設備和設備的出廠默認軟件配置，這些配置通常是公開記錄的，并且在供應商

美國網絡安全機構 CISA 周二在其已知利用漏洞 (KEV) 目錄中添加了影響多個高通芯片組的四個漏洞。其中三個缺陷（編號為 CVE-2023-33106、CVE-2023-33107 和 CVE-2023-33063）于2023 年 10 月作為零日漏洞進行了修補。所有三個漏洞都被描述為內存損壞錯誤。這些類型的缺陷會導致崩潰或意外行為，并可能允許攻擊者未經授權訪問系統，甚至執行任意代碼。第四個漏

CISA 將 4 個 Juniper 漏洞添加到已知漏洞列表中

美國一家領先的網絡安全機構發布了一套新的在線資源，旨在幫助醫療保健行業的 IT 安全領導者改善其組織的安全狀況。

CISA、FBI 和 MS-ISAC 警告網絡管理員立即為他們的 Atlassian Confluence 服務器打上補丁，以防止在攻擊中被主動利用的最大嚴重性漏洞。

美國國家安全局（NSA）和網絡安全與基礎設施安全局（CISA）在報告中公布了其紅隊和藍隊在大型組織網絡中發現的十大最常見網絡安全誤配置。

這家領先的安全機構發布了一項期待已久的計劃，詳細說明了它將如何增強聯邦政府和整個生態系統的開源安全性。

美國網絡安全和基礎設施安全局（CISA）在其已知漏洞（KEV）目錄中添加了Microsoft.NET和Visual Studio產品中最近修補的安全漏洞，理由是存在主動利用的證據。

美國網絡安全與基礎設施安全局（CISA）發現名為“Whirlpool”的后門惡意軟件用于攻擊受損的梭子魚電子郵件安全網關（ESG）設備。