CISA提醒修复RAD SecFlow-2 工业交换机中的路径遍历漏洞

最新推荐文章于 2024-06-26 14:50:46 发布
最新推荐文章于 2024-06-26 14:50:46 发布
阅读量114 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519815&idx=1&sn=39b57daed4e444ed2e6237921fc44ab3&chksm=eb21fa61ee90399bb3b0e0c448090c336c7f40a4f8a43272331e50d7f5cd13c9559c4a76ab0c&scene=126&sessionid=0
版权

b3cbac9c067c709e4c5a7f04bbb2c809.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

497431a1351ba43e20173a412195206b.gif

本周二,美国网络安全局 CISA 发布ICS 安全公告通知组织机构称,以色列网络设备制造商 RAD Data Communications 生产的老旧工业交换机中存在一个高危漏洞。

75ff70f158037b39fc4101aee191f739.gif

CISA 表示最近发现了针对 RAD 公司旨在为艰苦工业环境设计的 SecFlow-2 交换机/路由器中一个路径遍历漏洞的公开 PoC 利用。该漏洞是CVE-20199-6268,在2024年3月有人在 Packet Storm 网站上发布了该漏洞的技术详情和 PoC,而在此之前该漏洞的信息并未公开。

这篇文章提到,“RAD SecFlow-2 设备,即硬件为0202、固件为4.1.01.63以及 U-Boto 2010.12的设备,可导致以 /..为开始的URI 进行目录遍历,如 reading/etc/shadow 中所示。”CISA还提到,“未认证攻击者可创建构造请求,从操作系统(密码哈希)中获取任意文件。”

与这些被暴露密码相关的漏洞可对ICS和其它OT系统造成严重风险。CISA 在找到 PoC 后将该漏洞告知RAD,不过由于 SecFlow-2 产品已达生命周期,厂商建议客户将设备升级至更新的 SecFlow-1p 工业IoT 网关。另外,CISA还提供了一些降低恶意利用的通用建议。

CISA 表示受影响产品用于全球通信行业。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA开展首次AI网络事件响应演习

CISA:速修复已遭利用的 Linux 内核缺陷

CISA紧急通告:NextGen Healthcare Mirth Connect正遭攻击

CISA提醒修复严重的Chrome 和 D-Link漏洞

CISA提出的安全设计承诺无实际约束力吗?

原文链接

https://www.securityweek.com/cisa-informs-organizations-of-vulnerability-in-rad-secflow-2-industrial-switch/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

015a3388365bc02ea0c7ba08cb52c0f1.jpeg

22ecafe494f686db5fd5158b50d63ad8.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   06a9f4de4d00b6733c44badc96deab04.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISA考题-700题-文-汇总
08-19
CISA考题-700题-文-汇总
sybex-cisa-certified-information-systems-auditor-study-guide-2nd-edition
04-11
ebook
CISA督促软件维护人员修复路径遍历漏洞
smellycat000的专栏
05-06 47
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士CISA和FBI督促软件企业审计产品并在交付前修复路径遍历漏洞。攻击者可利用路径遍历漏洞(也被称为目录遍历漏洞)创建或覆写用于执行代码或绕过安全机制如认证的重要文件。这类安全缺陷可导致威胁行动者访问敏感数据如凭据可用于暴力破解业已存在的账户以攻陷目标系统。另外一个可能的场景是拿下或阻止对易受攻击系统的访问权限,这些系统可被覆写、删除或损坏用于认证...
Weidmueller修复其多款工业交换机的多个漏洞
NOSEC2019的博客
12-09 243
近期,总部位于德国的工业网络解决方案提供商Weidmueller发布了旗下众多工业以太网交换机的安全更新,以修复的高危漏洞。 Weidmueller有六个工厂,在全球60个地方设有办事处。根据国土安全部的网络安全和基础设施安全局(CISA)的说法,此次安全更新涉及的产品遍布全球,特别是在关键的制造业和IT行业。 根据CISA、德国CERT@VDE和Weidmuller发布的报告,40种IE-...
Linux通用系统高危漏洞(CVE-2024-1086)修复案例
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-26 1309
2024年3月28日,监 Linux kernel权限提升漏洞(CVE-2024-1086)的PoC/EXP在互联网上公开,该漏洞的CVSS评分为7.8,目前漏洞细节已经公开披露,美国网络安全与基础设施安全局(CISA)6月1日也更新了其已知漏洞(KEV)目录,要求联邦机构在 2024 年 6 月 20 日之前打上补丁,修复追踪编号为 CVE-2024-1086 的 Linux 内核权限提升漏洞。由于该漏洞的公开性,攻击者可能会利用这个漏洞进行恶意攻击,因此建议尽快采取修复措施。
CISA要求联邦机构修复被震网病毒攻击利用的漏洞
smellycat000的专栏
09-19 406
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施局 (CISA) 在“已知利用漏洞”列表新增了6个漏洞,并要求联邦机构按照厂商指南予以修复。在这6个漏洞,只有1个是今年披露的,它影响趋势科技的Apex One 自动威胁检测和响应平台。老旧漏洞复活CISA要求联邦机构在今年10月6日前修复这些漏洞,其大部分是2010年至2022年间报告的。利用其的多数漏洞可导致攻击...
CVE-2023-38831 WinRAR 逻辑漏洞原因分析
CuiXY's Blog
08-29 1959
漏洞编号:CVE-2023-38831 漏洞类型:逻辑漏洞 软件名称:RARLAB WinRAR 模块名称:WinRAR.exe 历史漏洞:根据 vuldb 显示,历史漏洞并不是很多,能稳定利用的更是少之又少
思科修复NSA报告的Nexus 交换机DoS漏洞及其它
smellycat000的专栏
02-25 655
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,思科宣布修复位于 FXOS 和 NX-OS 网络操作系统的四个漏洞,其一个拒绝服务漏洞由NSA报告。最严重漏洞在这四个漏洞,...
CISA 督促VMware 管理员修复Workspace ONE UEM 的严重漏洞
smellycat000的专栏
12-20 488
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士CISA 要求 VMware 管理员和用户修复 Workspace ONE UEM 控制台的严重漏洞,它可遭威胁者滥用,获得对敏感信息...
CISA:攻击者正在利用开源Zabbix服务器的多个漏洞
smellycat000的专栏
02-25 504
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全基础设施和安全局 (CISA) 警告称威胁者正在利用开源的Zabbix 工具(用于监控网络、服务器、虚拟机和云服务)的两个...
VMware 修复多款产品的高危漏洞
smellycat000的专栏
02-17 779
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,VMware 修复了影响 ESXi、Workstation、Fusion、Cloud Foundation和 NSX Data ...
CISA文模拟题.pdf
05-08
CISA文模拟题知识点详解...以上是CISA文模拟题涉及的知识点详细解释,涵盖了操作系统、服务管理、信息安全审计、数据库管理、网络通信等多个IT领域的关键概念。这些知识点对于理解和通过CISA认证考试至关重要。
PassLeader CISA Exam Dumps (101-200).pdf
05-19
This CISA PDF braindump has been carefully, formatted, reviewed and tested by a team of professional ISACA trainers. The exam package includes a PDF version of the CISA exam with 1177 actual questions...
PassLeader CISA Exam Dumps (1-100).pdf
05-19
This CISA PDF braindump has been carefully, formatted, reviewed and tested by a team of professional ISACA trainers. The exam package includes a PDF version of the CISA exam with 1177 actual questions...
使用 JavaScript 编写的记忆游戏(附源代码).zip
07-22
使用 JavaScript 编写的记忆游戏(附源代码)   项目:JavaScript 记忆游戏(附源代码) 记忆检查游戏是一个使用 HTML5、CSS 和 JavaScript 开发的简单项目。这个游戏是关于测试你的短期 记忆技能。玩这个游戏 时,一系列图像会出现在一个盒子形状的区域 。玩家必须找到两个相同的图像并单击它们以使它们消失。 如何运行游戏? 记忆游戏项目仅包含 HTML、CSS 和 JavaScript。谈到此游戏的功能,用户必须单击两个相同的图像才能使它们消失。 点击卡片或按下键盘键,通过 2 乘 2 旋转来重建鸟儿对,并发现隐藏在下面的图像! 如果翻开的牌面相同(一对),您就赢了,并且该对牌将从游戏消失! 否则,卡片会自动翻面朝下,您需要重新尝试! 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox, 以获得更好、更优化的游戏体验。要玩游戏,首先,通过单击 memorygame-index.html 文件在浏览器打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
全国计算机三级(网络技术)做题技巧
07-22
全国计算机三级(网络技术)做题技巧
UnityUGUI线段组件
07-22
Unity扩展 UI线段绘制组件——UI上的LineRenderer
文化娱乐-国产进口电影票房榜单分析(Pyecharts大屏可视化).rar
最新发布
07-22
文化娱乐-国产进口电影票房榜单分析(Pyecharts大屏可视化)
《ISACA CISA认证课程手册》- 供应商的最新文档和培训资料
The isaca-cisa-courseware学习文档手册.pdf is a comprehensive study manual designed for professionals seeking to become Certified Information Systems Auditors (CISA) through the ISACA certification ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值