التخطي إلى المحتوى الرئيسي

يضيف CISA 13 نقطة ضعف مستغلة إلى القائمة ، 9 مع تاريخ الإصلاح 1 فبراير


حثت CISA الوكالات المدنية الفيدرالية على معالجة 9 نقاط ضعف خلال الأسبوعين المقبلين.







أصدرت CISA آخر تحديث لها إلى كتالوج الثغرات الأمنية المعروفة ، مضيفة 13 ثغرة أمنية جديدة. تسعة من الثغرات الأمنية لديها تاريخ إصلاح في 1 فبراير وأربعة منها لديها تاريخ تصحيح في 18 يوليو.

تتضمن القائمة مصادقة غير صحيحة لشهر أكتوبر CMS ، وثغرة أمنية في مكتبة معلومات النظام لـ node.js Command Injection ، وثغرة مسار اجتياز Oracle Corporate Business Intelligence Enterprise Edition ، وثغرة تجاوز مصادقة Apache Airflow Experimental API ، وتحميل Drupal Core غير المقيد لثغرة أمنية للملف ، وثلاث نقاط ضعف في Nagios XI OS Command Injection.




CISA


تم استخدام المصادقة غير الصحيحة لنظام إدارة المحتوى لشهر أكتوبر - CVE-2021-32648 - أثناء هجوم إلكتروني على أنظمة الحكومة الأوكرانية الأسبوع الماضي. تم إصدار تصحيح في سبتمبر 2021.

قال الرئيس التنفيذي لشركة Media Trust ، كريس أولسون ، إن الاستخدام المزعوم للثغرة الأمنية في الهجوم الأخير على أوكرانيا يفسر إدراج البرنامج في القائمة ، لكنه أشار إلى أن إدراجها يسلط الضوء على "نمو مثير للقلق في الهجمات الإلكترونية المستندة إلى الويب والدور الذي ستلعبه في الحرب الإلكترونية العالمية. . "

"يتم إيلاء القليل من الاهتمام للويب كسطح للهجوم. وبينما تدرك المؤسسات عبر القطاعين العام والخاص بشكل متزايد المخاطر الإلكترونية ، نادرًا ما تفي مجموعة أكواد الطرف الثالث المستخدمة في تطوير الويب بمعايير AppSec التي تطلبها تلك المنظمات من أي من أنظمة تكنولوجيا المعلومات الخاصة بهم ، "قال أولسون.

صرح جوردان لاروز ، مدير الاستجابة للحوادث في F-Secure ، لـ Mulkhas أن إرشادات CISA تتطابق مع الكثير مما يرونه في البرية من وجهة نظر الفاعل الخبيث.

قال لاروز إن أكثر ما يميزه هو أن هذه كلها نقاط ضعف تؤثر على خوادم الويب أو واجهات برمجة التطبيقات. قال لاروز إنه شهد تطورًا ملحوظًا في العام الماضي بين الجهات الفاعلة الخبيثة ، حيث يتجه الكثير منهم إلى أكثر من مجرد الأساليب التقليدية مثل التصيد الاحتيالي أو أحصنة طروادة لكسب موطئ قدم في المنظمات ذات المواقف الأمنية القوية.

"ما نراه الآن هو موجة من الهجمات حيث يستهدف المهاجمون التكنولوجيا بدلاً من الأشخاص ، وكان أحدث مثال بارز هو هجمات Log4Shell. تتم هذه الهجمات إلى حد كبير بشكل انتهازي ، حيث يقوم المهاجمون بتحميل البرامج النصية التي تحتوي على الثغرات وضربها كل ما في وسعهم على الإنترنت للعثور على ضحية محتملة ".

ردد نائب رئيس Neosec ، إدوارد روبرتس ، هذا الشعور ، مضيفًا أن حجم الثغرات الأمنية التي تنطوي على واجهات برمجة التطبيقات سيستمر في الزيادة نظرًا لوجود المزيد من واجهات برمجة التطبيقات التي يتم تطويرها كل يوم. وقال إن معظم المؤسسات "لا تعرف حتى عدد واجهات برمجة التطبيقات التي تمتلكها ، ناهيك عن تلك التي بها نقاط ضعف ، ناهيك عن التفكير في كيفية خداعها من خلال السلوك التعسفي."

لاحظ عدد من خبراء الأمن السيبراني أنه تم تحديد العديد من نقاط الضعف هذه منذ أشهر. تعود بعض نقاط الضعف في القائمة إلى عامي 2012 و 2013 وفقًا لصائد التهديدات الرئيسي في Netenrich John Bambenek ، الذي أعرب عن مخاوفه من حقيقة أنها لم يتم إصلاحها بالفعل.

قال بامبنيك: "إن الوكالة ليس لديها معلومات أساسية لنشر التصحيح من الوحدات الحكومية الأخرى يعني عدم وجود إدارة مركزية لتلك المعلومات. يبدو أن وضع الأمن السيبراني الفيدرالي لتكنولوجيا المعلومات قد ظل متوقفًا عند المربع الأول".

"إذا كان من الممكن استخدام ثغرة أمنية مستغلة لتنفيذ أوامر على الجهاز الضحية ، فعندئذ تحدد CISA موعد استحقاق أسبوعين للتصحيح. ومع ذلك ، فإن أسبوعين بطيئين للغاية. هذه الأشياء بعيدة كل البعد عن المسار المطروق. ولكن ، قد يكون هذا شائعًا في المنشآت الحكومية التي تستحق أن توضع على القائمة ".

أشار مدير العمليات في شركة Vulcan Cyber ​​Tal Morgenstern إلى أن سبعة من الثغرات الأمنية مع تواريخ الإصلاح في 1 فبراير تتعلق بأدوات إدارة الأنظمة.

"أدوات إدارة الأنظمة من VMware و Nagios و F5 و Npm والمزيد تحمل مفاتيح المملكة مما يمنح المستخدم قوة كبيرة لأتمتة تغيير النظام بشكل جيد أو سيئ. هذا ليس مصدر قلق جديد لأننا رأينا اتجاهًا مؤسفًا نقاط الضعف في أدوات برمجيات إدارة الأنظمة هذا العام ، "أوضح Morgenstern.

"بالنظر إلى مقدار الوصول والتحكم في هذه الأدوات ، يجب على فرق أمن تكنولوجيا المعلومات اتخاذ خطوات فورية لتخفيف المخاطر المعروفة بشكل كامل. لا تنتظر فبراير. تحرك الآن."

المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق...

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو...

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا...