美国网络安全和基础设施安全局(CISA)披露了有关Progress Telerik用户界面(UI)中.NET反序列化漏洞(CVE-2019-18935)的信息。

CISA在周三的一份报告中描述了这一发现,称多个网络威胁行为者能够利用这一漏洞,该漏洞还在2022年11月至2023年1月期间影响了联邦民用行政部门(FCEB)机构的微软互联网信息服务(IIS)网络服务器。

如果成功利用该漏洞,则允许远程代码执行(RCE)。正因为如此,该漏洞已被评为关键,并分配了CVSS v3.1得分9.8。

CISA的咨询报告写道:“尽管该机构的漏洞扫描器有针对CVE-2019-18935的适当插件,但由于Telerik UI软件安装在它通常不会扫描的文件路径上,它未能检测到漏洞,这可能是许多软件安装的情况,因为文件路径因组织和安装方法的不同而有很大差异。”

网络安全公司Coro的联合创始人Dror Liwer在评论这一消息时表示,这样的漏洞对攻击者来说是唾手可得的果实。

Liwer解释说:“它们代表了一个简单的、记录良好的入口点,不需要社会工程、强大的技术技能或主动监控。”

根据这位高管的说法,在所有资产中跟上已知的漏洞可能会令人生畏,但组织必须更加关注更新。

Liwer补充道:“没有简单的解决办法。漏洞管理必须是任何网络安全计划的一个组成部分,尽管它可能是乏味和费力的。”

就CVE-2019-18935而言,CISA表示,使用Progress Telerik软件的实体应实施补丁管理解决方案,以确保符合最新的安全补丁。

他们还应该根据运行的服务验证补丁管理和漏洞扫描的输出,以检查任何差异,并将服务帐户限制为必要的最低权限。

在CISA发布这一建议的几周前,SentinelOne公司披露了基于.NET开发平台的新型恶意软件加载程序的相关信息。

美国政府IIS服务器被Telerik软件漏洞攻破相关推荐

  1. 美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国FBI和CISA发布联合公告指出,未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件. ...

  2. 【翻译】NIST IR 8151: 显著减少软件漏洞——致美国白宫科技政策办公室

    原始文章来自https://hardenedlinux.github.io/system-security/2019/07/05/NIST-IR-8151.html,翻译很生涩,但是文章内容是切中要害 ...

  3. 美国政府与科技巨头讨论开源软件安全、近八万网站受开源软件漏洞影响|1月18日全球网络安全热点

    安全资讯报告 微软称"破坏性恶意软件"被用于对付乌克兰组织 微软表示,它发现了破坏性恶意软件被用来破坏乌克兰多个组织的系统.在周六发布的博客中,微软威胁情报中心(MSTIC)表示, ...

  4. 美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全...

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  5. 美国政府警告:西门子医疗扫描设备存在多处漏洞

    本文讲的是 美国政府警告:西门子医疗扫描设备存在多处漏洞, 近日,据外媒报道称,德国西门子医疗扫描设备存在高风险漏洞,允许未经身份验证的黑客在设备上执行任意恶意代码. 这些远程访问安全漏洞潜伏在运行M ...

  6. 美国政府发布《软件供应链安全客户实践建议指南》

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  7. IIS 服务器常见漏洞

    IIS 服务器常见漏洞 文件解析漏洞 1.目录解析漏洞 2.文件名解析漏洞 3.畸形解析漏洞 IIS 短文件漏洞 PUT 任意文件写入 IIS是Internet Information Service ...

  8. 华为起诉美国政府,曝其服务器曾被美国政府入侵

    3月7日,华为公司轮值董事长郭平在深圳总部宣布:针对美国政府对华为公司的不公平打压和遏制,华为公司决定正式起诉美国政府! 华为在德克萨斯州普莱诺的联邦地区法院提起诉讼.根据起诉书,华为针对美国< ...

  9. APT 新组织利用 ASP.NET exploit 攻击微软 IIS 服务器

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 一个新型APT组织正在攻击位于美国的高级别公私实体,利用面向互联网的微软 IIS 服务器渗透进这些实体的网络. 以色列网络安全公司 Syg ...

最新文章

  1. 配置Citrix Receiver 3.x、4.x支持添加HTTP站点
  2. 统计学习方法笔记 -- Boosting方法
  3. linux 打印输出重定向的问题
  4. leetcode:Minimum Depth of Binary Tree【Python版】
  5. mysql 轨迹数据存储_python爬虫26 | 把数据爬取下来之后就存储到你的MySQL数据库...
  6. 计算机本地用户删除后怎么恢复,电脑本地磁盘盘符被隐藏C盘不见了恢复方法...
  7. centos7 如何重启web服务_CentOS7重启网络服务失败。
  8. perl 包下载官方网站(速度很快的) 和 解压安装指令
  9. 数据库信息查询(作者不是我)
  10. FPGA经典设计思想
  11. 服务器ip映射端口,一个公网IP对应多台服务器端口映射问题
  12. 文件或目录损坏且无法读取的解决办法
  13. 小博无线认证无法连接服务器,常见问题FAQ一、设备绑定-小博无线.PDF
  14. 自学前端开发,现在手握大厂offer,我的故事还在继续
  15. Bt(宝塔面板)安装wordpress以及如何开启最简单实用的动静分离优化
  16. FloorPlan 经验总结
  17. 震惊了!130万研究生报名用户的数据遭泄露
  18. python end函数用法_python end用法是什么?_后端开发
  19. 莫比乌斯反演新手入门及练习题
  20. 给小吴:从实践下手去学编程

热门文章

  1. 火车头采集:高效数据采集工具的介绍
  2. 由源码生成html离线文档
  3. python 网络_科学网-python 社会网络分析工具之networkx-郗强的博文
  4. Python史上最牛逼的可视化神器
  5. 常用 JS 【验证函数】
  6. Jeeplus框架中问题解决
  7. 华为除了鸿蒙麒麟,比麒麟9000更有意义?华为高管公开发声,“花粉”果然没白等...
  8. CF - C. Number Game(思维,博弈)
  9. Android简单涂鸦以及撤销、重做的实现方法
  10. C语言 rand函数(随机)