美国网络安全和基础设施安全局(CISA)周四将影响海康威视和罗克韦尔自动化产品的两个安全漏洞添加到其已知利用漏洞(KEV)目录中,理由是有证据表明这些漏洞正在被积极利用。
这些严重级别的漏洞如下:
CVE-2017-7921(CVSS评分:9.8)- 影响多款海康威视产品的身份验证不当漏洞,可能允许恶意用户提升系统权限并访问敏感信息。
CVE-2021-22681(CVSS评分:9.8)- 影响多款罗克韦尔自动化Studio 5000 Logix Designer、RSLogix 5000和Logix控制器的凭据保护不足漏洞,可能允许具有网络访问权限的未授权用户绕过验证机制并对控制器进行身份验证,以及更改其配置和/或应用程序代码。
CVE-2017-7921被添加到KEV目录是在SANS互联网风暴中心披露检测到针对存在该漏洞的海康威视摄像头的利用尝试四个多月之后。然而,目前似乎没有公开报告描述涉及CVE-2021-22681的攻击。
鉴于这些漏洞正在被积极利用,建议联邦民事行政部门(FCEB)机构在2026年3月26日之前更新到最新支持的软件版本,这是约束性操作指令(BOD)22-01的一部分。
CISA表示:"这些类型的漏洞是恶意网络行为者的常见攻击载体,对联邦企业构成重大风险。"
"尽管BOD 22-01仅适用于FCEB机构,但CISA强烈敦促所有组织通过优先及时修复KEV目录中的漏洞来减少网络攻击风险,将其作为漏洞管理实践的一部分。"
Q&A
Q1:CVE-2017-7921漏洞会对海康威视产品造成什么影响?
A:CVE-2017-7921是一个身份验证不当漏洞,CVSS评分高达9.8,影响多款海康威视产品。该漏洞可能允许恶意用户提升系统权限并访问敏感信息,目前已有证据表明该漏洞正在被积极利用。
Q2:罗克韦尔自动化的CVE-2021-22681漏洞有多严重?
A:CVE-2021-22681的CVSS评分为9.8,属于严重级别漏洞。它影响多款罗克韦尔自动化Studio 5000 Logix Designer、RSLogix 5000和Logix控制器产品,可能允许未授权用户绕过验证机制并更改控制器配置和应用程序代码。
Q3:CISA要求联邦机构何时修复这些漏洞?
A:根据约束性操作指令(BOD)22-01,CISA建议联邦民事行政部门机构在2026年3月26日之前更新到最新支持的软件版本。虽然该指令仅适用于联邦机构,但CISA强烈敦促所有组织优先及时修复这些漏洞。
好文章,需要你的鼓励
Waymo近日发布软件更新,对旗下约4000辆自动驾驶车队实施召回,以帮助车辆规避积水道路。美国国家公路交通安全管理局(NHTSA)指出,此前Waymo机器人出租车在遭遇无法通行的积水路段时,仅减速而未完全停车。此次召回涵盖第五代和第六代自动驾驶系统车辆,共计3791辆。Waymo表示正在完善软件防护措施,并已限制车辆在极端天气及易发洪涝区域的运营。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
路面坑洞每年给城市造成数百万美元损失。车队管理公司Samsara推出名为"Ground Intelligence"的AI解决方案,通过已安装在数百万辆商用卡车上的摄像头,自动识别并追踪坑洞的位置与劣化程度。该系统以仪表盘形式呈现,可主动向城市管理者推送预警信息,将被动响应转变为主动规划。目前,芝加哥已成为其新客户。未来还将扩展至涂鸦、损坏护栏等城市基础设施监测。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。