CISA发布增强开源安全性的计划

网络安全和基础设施安全局(CISA)已识别出两个重大漏洞，并将其添加到其已知的可利用漏洞(KEV)目录中。这些漏洞涉及Google Chrome中最近修补的缺陷以及影响开源Perl库“Spreadsheet::ParseExcel”的错误，该库专为读取Excel文件中的信息而设计。

美国网络安全和基础设施安全局 (CISA) 敦促制造商完全废除互联网暴露系统上的默认密码，理由是攻击者可能会利用这些严重风险来获得对组织的初始访问权限并在组织内横向移动。在上周发布的警报中，该机构谴责隶属于伊斯兰革命卫队（IRGC）的伊朗威胁行为者利用带有默认密码的操作技术设备来访问美国的关键基础设施系统。默认密码是指嵌入式系统、设备和设备的出厂默认软件配置，这些配置通常是公开记录的，并且在供应商

美国网络安全机构 CISA 周二在其已知利用漏洞 (KEV) 目录中添加了影响多个高通芯片组的四个漏洞。其中三个缺陷（编号为 CVE-2023-33106、CVE-2023-33107 和 CVE-2023-33063）于2023 年 10 月作为零日漏洞进行了修补。所有三个漏洞都被描述为内存损坏错误。这些类型的缺陷会导致崩溃或意外行为，并可能允许攻击者未经授权访问系统，甚至执行任意代码。第四个漏

CISA 将 4 个 Juniper 漏洞添加到已知漏洞列表中

美国一家领先的网络安全机构发布了一套新的在线资源，旨在帮助医疗保健行业的 IT 安全领导者改善其组织的安全状况。

CISA、FBI 和 MS-ISAC 警告网络管理员立即为他们的 Atlassian Confluence 服务器打上补丁，以防止在攻击中被主动利用的最大严重性漏洞。

美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）在报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。

这家领先的安全机构发布了一项期待已久的计划，详细说明了它将如何增强联邦政府和整个生态系统的开源安全性。

美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中添加了Microsoft.NET和Visual Studio产品中最近修补的安全漏洞，理由是存在主动利用的证据。

美国网络安全与基础设施安全局（CISA）发现名为“Whirlpool”的后门恶意软件用于攻击受损的梭子鱼电子邮件安全网关（ESG）设备。