草庐IT

CISA和NSA分享有关保护 CI/CD 环境安全的指南

网络安全和基础设施安全局(CISA)和国家安全局(NSA)发布了有关组织如何确保持续集成和持续交付(CI/CD)管道免受恶意攻击的指南。该文档包括强化CI/CD云部署以及改进开发、安全和运营防御(DevSecOps)的建议和最佳实践。CI/CD是一种用于创建和测试代码更改的开发流程,被视为DevSecOps的关键部分,将自动化和安全性集成到开发生命周期中。云的日益普及导致CI/CD管道在商业云环境中实施,使其成为威胁行为者的有吸引力的目标,这些威胁行为者希望将恶意代码注入CI/CD应用程序、窃取敏感信息或导致拒绝服务(拒绝服务)。CISA和NSA指出,CI/CD环境面临的安全威胁包括不安全的第

CISA 督促联邦机构修补 iPhone 漏洞

BleepingComputer网站消息,美国网络安全与基础设施安全局(CISA)督促联邦机构尽快修补iMessage零点击漏洞。卡巴斯基表示这些漏洞已被黑客在野外利用,网络攻击者通过漏洞在其员工的iPhone上部署Triangulation间谍软件。卡巴斯基研究人员在其莫斯科办事处以及其他地区员工的iPhone上发现了间谍软件,经过研究分析发现间谍攻击始于2019年,目前仍在进行中、攻击者使用了iMessage零点击漏洞,并利用现已修补的iOS零日漏洞,入侵用户的iphone。苹果表示不会在任何产品中留后门值得一提的是,俄罗斯联邦安全局情报机构声称苹果公司与美国国家安全局合作创建一个后门,为

CISA 督促联邦政府机构 “重视”Barracuda 零日漏洞

BleepingComputer网站披露,CISA发布警告称上周有一个打补丁的零日漏洞(CVE-2023-2868)被网络攻击者用来入侵Barracuda电子邮件安全网关(ESG)设备。目前,美国网络安全局已将该漏洞添加到其野外利用的安全漏洞目录中。Barracuda 已经发布安全补丁Barracuda的安全解决方案在全球范围内有很大的市场份额,约20多万个实体组织使用,其中包括三星、三菱、卡夫亨氏和达美航空等知名公司。Barracuda指出根据调查结果显示,内部已经确定CVE-2023-2868漏洞可导致网络攻击者对电子邮件网关设备子集的未经授权访问,Barracuda已通过周末发布的两个安

CISA 漏洞目录“再添”七个安全漏洞

SecurityAffairs网站披露,美国网络安全和基础设施安全局(CISA)在其已知被利用的漏洞目录中增加了七个新安全漏洞。漏洞详情:CVE-2023-25717:Cybir的研究人员发现Ruckus无线接入点(AP)软件在web服务组件中存在一个未知漏洞。一旦用户在AP上启用了web服务组件,攻击者就可以执行跨站点请求伪造(CSRF)或远程代码执行(RCE)。此漏洞会影响RuckusZoneDirector、SmartZone和SoloAP,用户应尽快安装补丁;CVE-2021-3560:RedHatPolkit通过绕过D-Bus请求的凭据检查,包含一个不正确的授权漏洞,攻击者可以利用该

美国CISA最新收录五大高危漏洞,需尽快修复!

上周五,美国网络安全和基础设施安全局(CISA)在它们的漏洞(KEV)目录中又补充了五大安全漏洞的信息。为了进一步说明这些漏洞的情况,他们还引用了该漏洞在实验室和研究机构外部的计算机活跃开发利用病毒的一些证据。其中包括VeritasBackupExec代理软件中的三个高危漏洞:CVE-2021-27876(CVSS评分:8.1)--VeritasBackupExecAgent文件访问漏洞CVE-2021-27877(CVSS评分:8.2)--VeritasBackupExecAgent不当认证漏洞CVE-2021-27878(CVSS 平分:8.8)--VeritasBackupExecAge

美国CISA最新收录五大高危漏洞,需尽快修复!

上周五,美国网络安全和基础设施安全局(CISA)在它们的漏洞(KEV)目录中又补充了五大安全漏洞的信息。为了进一步说明这些漏洞的情况,他们还引用了该漏洞在实验室和研究机构外部的计算机活跃开发利用病毒的一些证据。其中包括VeritasBackupExec代理软件中的三个高危漏洞:CVE-2021-27876(CVSS评分:8.1)--VeritasBackupExecAgent文件访问漏洞CVE-2021-27877(CVSS评分:8.2)--VeritasBackupExecAgent不当认证漏洞CVE-2021-27878(CVSS 平分:8.8)--VeritasBackupExecAge
12