XiaoMi-AI文件搜索系统
World File Search SystemLog4j
CSRB 关于 Log4j 的报告 - CISA
我们全球技术基础设施的规模和效率是通过关键构建块的标准化实现的。这些可重复使用的构建块虽然可用于大规模创建软件,但也会产生依赖性和风险,而这些依赖性和风险往往在它们表现为安全问题时才被理解。例如,集成到许多其他软件包中的软件构建块中的漏洞意味着使用这些软件包的每个组织都面临风险。这也意味着系统所有者可能不知道易受攻击的软件在其环境中的位置。当威胁行为者也很容易利用此类漏洞来获得对受感染系统的广泛控制时,它可能会造成百年不遇的安全事件。这就是 2021 年 12 月引起公众关注的 Log4j 漏洞所发生的事情。
保存日期!Apache Log4j 漏洞指南 - CISA
• 网络 – CHAMP© 演示 会议欢迎来自世界各地的所有工业控制系统 (ICS) 社区成员,包括刚接触这些概念的人和具有多年经验的主题专家。我们期待在那里与您见面,并继续与 ICS 社区建立合作伙伴关系。有关更多信息,请通过以下方式与我们联系:ICSJWG.Communications@Cisa.dhs.gov。Apache Log4j 漏洞指南 CISA 及其合作伙伴通过联合网络防御协作组织,正在应对 Apache Log4j 软件库版本 2.0-beta9 至 2.14.1(称为“Log4Shell”)中一个关键的远程代码执行 (RCE) 漏洞 (CVE-2021- 44228) 的积极、广泛利用。Log4j 广泛应用于各种消费者和企业服务、网站和应用程序以及运营技术产品中,以记录安全和性能信息。未经身份验证的远程参与者可以利用此漏洞控制受影响的系统。我们敦促各组织升级到 Log4j 2.17.1 (Java 8)、2.12.4 (Java 7) 和 2.3.2 (Java 6),并查看和监控 Apache Log4j 安全漏洞网页以获取更新和缓解指南。
2022 年上半年全球威胁形势报告 - Fortinet
尽管漏洞利用数量低于最初预期,但今年上半年已有数次攻击利用此漏洞。2022 年 3 月,动物健康紧急诊断系统 (USAHERDS) 中的漏洞使 APT41 的网络间谍活动能够访问多个美国政府系统。那么,USAHERDS 是用来做什么的?它是一种帮助各州通过牲畜种群追踪动物疾病的工具。医疗保健是另一个说明 Log4j 漏洞的持续时间和影响力以及将继续影响的行业。由于该漏洞存在于如此多的基础系统中,因此在不破坏系统其他部分的情况下更新一个系统可能极其困难。网络犯罪分子会利用任何可以让他们获得他们想要实现的数据或行动的初始访问权限的东西。我们很可能会在很长一段时间内继续看到 Log4j 在我们的“顶级”排行榜上。这充分证明了漏洞评估以及主动和虚拟修补的重要性。
2023 年网络导航 - FS-ISAC
随着组织变得越来越相互联系和复杂,供应链威胁也在不断增长。在去年的报告中,我们详细介绍了影响金融部门的 Solarwinds、Accellion、Kaseya 和 Log4j 事件。如上所述,2022 年,金融部门的多家供应商遭遇了勒索软件攻击。虽然实际的连锁攻击很少见,但每起事件都会产生影响。至少,客户公司必须转移资源来收集信息并调查对自己和该行业的潜在影响。关键漏洞利用——例如 2022 年 5 月发现的“Follina”Microsoft Office 零日远程执行漏洞——同样会对许多受影响的组织在调查和修补期间造成至少一些运营影响。
网络安全咨询
Apache CVE-2021-44228 CVSS 3.0:10(严重)漏洞描述 Apache Log4j2 2.0-beta9 至 2.15.0(不包括安全版本 2.12.2、2.12.3 和 2.3.1)配置、日志消息和参数中使用的 JNDI 功能无法防范恶意行为者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的恶意行为者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始,此行为已默认禁用。从版本 2.16.0(以及 2.12.2、2.12.3 和 2.3.1)开始,此功能已被完全删除。请注意,此漏洞特定于 log4j-core,不会影响 log4net、log4cxx 或其他 Apache Logging Services 项目。建议的缓解措施
S3C2 Summit 2022-09:行业安全供应链峰会
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。我们与来自行业的19名从业者进行了六次小组讨论。我们向他们询问了有关SBOM,弱势依赖,恶意提交,建造和部署,行政命令和规定遵守的开放性问题。这次峰会的目的是实现开放讨论,相互共享并阐明这些共同的挑战,而在确保其软件供应链的实践经验的行业从业人员中,该行业从业人员会面对。本文总结了2022年9月30日举行的峰会。可以在每个部分的开头和附录中找到完整的面板问题。
S3C2峰会2023-06:政府安全供应链峰会
最近几年显示,网络攻击的增加,目标是针对软件供应链中较不安全的要素,并对企业和组织造成了致命的损害。过去众所周知的软件供应链攻击的考试是影响数千个客户和企业的Solarwind或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年6月7日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中包括来自13个政府机构的17名从业人员。首脑会议的目标是两个方面:(1)与行业分享我们前两个峰会的观察结果,(2)使政府机构在实际经验和软件供应链安全方面的挑战之间分享。对于每个讨论主题,我们介绍了行业首脑会议的观察结果和接管力,以激发对话。我们专门针对行政命令14028,软件材料清单(SBOM),选择新的依赖性,出处和自我证实以及大语言模型。公开讨论使共享并阐明了政府机构在确保其软件供应链时影响政府和行业从业人员的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。
S3C2 Summit 2023-02:行业安全供应链峰会
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年2月22日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中有17家公司的17名从业人员组合。该求职者的目标是在具有实际经验和挑战的行业从业人员之间分享与软件供应链安全的挑战,并帮助建立新的合作。,我们根据有关软件材料法案(SBOM),恶意提交,选择新依赖性,构建和部署的开放式问题进行了六个面板讨论,行政命令14028和脆弱的依赖关系。公开讨论使人们能够分享并阐明具有实际经验的行业从业人员在确保其软件供应链时面临的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。
集成功率 - 水系统的最佳能源调度和灵敏度分析
摘要 - 诸如Log4J之类的三方库加速软件应用程序开发,但引入了重大风险。漏洞导致了软件供应链(SSC)攻击,从而损害了主机系统中的资源。这些攻击受益于当前的应用程序权限方法:在应用程序运行时,第三方库是隐式信任的。使用零信任体系结构(ZTA)原则设计的应用程序运行时 - 安全访问资源,持续监视和最小特权执行 - 可以减轻SSC攻击,因为这将使这些库的内置信任为零。但是,没有个人安全防御以低运行时的成本结合这些原则。本文提出了减轻SSC漏洞的零值依赖性:我们将NIST ZTA应用于软件应用程序。首先,我们使用第三方软件库及其脆弱性的研究评估零信任依赖关系的预期有效性和配置成本。然后,我们提出了一个系统设计ZTD系统,该系统可以将零信任依赖项应用于软件应用程序和针对Java应用程序的原型ZTD Java。最后,通过对重新创建的漏洞和现实应用的评估,我们表明ZTD Java可以防御普遍的漏洞类,引入可忽略的成本,并且易于配置和使用。