CISA:FXC 路由器和 QNAP NVR 漏洞已遭在野利用
2023-12-25 17:46:10 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

上周四,美国网络安全局 CISA 为影响 Future X Communications (FXC) 路由器和 QNAP 网络视频记录器 (NVR) 设备的多个漏洞发布工控安全通告,并提醒组织机构称这些漏洞已遭在野利用。

第一份 CISA 安全公告提醒用户称,日本公司 FXC 制造的 AE1021和AE1021PE 插座墙路由器受高危命令注入漏洞CVE-2023-49897 的影响,可被认证攻击者通过 NTP 服务器设置实现远程代码执行。这类路由器一般用于酒店和住宅区。

CISA 表示,易受攻击的产品部署在日本IT和商业设施关键基础设施行业。

CISA 还发布了与CVE-2023-47565 相关的安全公告。该漏洞也是一个高危漏洞,影响 QNAP VioStor NVR 设备。该设备用于全球商业设施关键基础设施行业。

FXC 和 QNAP 公司都发布了相关补丁。由于漏洞已遭在野利用,因此用户应尽快采取措施。值得注意的是,QNAP 的漏洞实际上已经在十年前通过发布固件版本5.0就已经修复了。目标设备是不再受支持的遗留设备。

这两家厂商在最近发布的安全公告中均未提到漏洞已遭利用。Akamai 公司提到了这两个漏洞遭恶意滥用的信息,并提到漏洞已用于攻击活动 InfectedSlurs 中。该公司在本月早些时候发布的博客文章中提到,“在野捕获的恶意 payload 安装了基于 Mirai 的恶意软件,目的是制造 DDoS 僵尸网络。”

尽管利用这两个漏洞均需认证,但网络犯罪分子似乎都利用用户未能更改默认弱密码的事实。CISA 已将这两个漏洞添加至必修清单。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA 和NCSC 联合发布关于保护AI系统开发安全新指南

CISA必修清单新增三个漏洞

CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链

CISA、NSA等联合发布关于SBOM的软件供应链安全保护新指南

CISA称SLP高危漏洞正遭活跃利用

原文链接
https://www.securityweek.com/cisa-warns-of-fxc-router-qnap-nvr-vulnerabilities-exploited-in-the-wild/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518480&idx=1&sn=372723a1263ca0cbc9c63dfe1a68c98e&chksm=ea94b87adde3316c512751cc1c30531707c9315f39b8bfbad0271fe66291a58f6b5256d714fc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh