各位Buffer早上好，今天是2019年3月29日星期五。今天的早餐铺内容主要有：思科释出大量补丁，修复IOS XE和小型企业路由漏洞；专家警告雷克萨斯、丰田、福特和保时捷无钥匙汽车系统棉铃严重安全风险；美国两家化工巨头再遭LockerGoga勒索攻击；英伟达修复GeForce Experience软件严重漏洞；12家企业因违反网络安全管理规定被上海网安依法查处。

思科释出大量补丁，修复IOS XE和小型企业路由漏洞

周三，思科系统公司发布了26个补丁，包括其IOS XE操作系统和两个小型企业RV320和RV325路由器中的漏洞修复。共有19个漏洞被思科评为严重级别，其他漏洞被评为中等级别。在高严重性漏洞中，15个与思科的互联网操作系统（IOS）XE相关，后者运行在思科网络设备上，如交换机、控制器和路由器。漏洞类型包括权限提升、注入和拒绝服务漏洞。

思科还发布了其他四个漏洞的信息，包括：Moodle mybackpack功能服务器端请求伪造漏洞（CVE-2019-3809），可能允许未经身份验证的远程攻击者对目标系统进行服务器端请求伪造攻击；在Elastic Kibana安全审计记录器中发现了第二个严重漏洞，可能导致任意代码执行（CVE-2019-7610）；Python urllib安全绕过漏洞（CVE-2019-9948）；Elastic Kibana Timelion Visualizer任意代码执行漏洞（CVE-2019-7609）。[来源：threatpost]

专家警告雷克萨斯、丰田、福特和保时捷无钥匙汽车系统面临严重安全风险

经过Thatcham Research的专家测试，雷克萨斯、丰田、福特和保时捷汽车的无钥匙汽车安全系统被贴上了“差”的标签。铃木吉姆尼的安全性如此糟糕，以至于给Thatcham给出的评定为“不可接受”。安全性差的车辆，容易受到中继攻击，小偷可以利用无线设备激活汽车的远程中央锁定键，然后打开车门，将汽车开走。Thatcham的最新研究结果是基于对十一款新车辆测试，为了对汽车安全提供更好的指导，该公司推出了新的评级系统。传统上，关于汽车安全人们关注的是安全系统，而不是汽车。

该团队评估的11款车型中，有6款被评为“差”。其中价值1.5万英镑的铃木吉姆尼排名垫底，安全级别为“不可接受”。吉姆尼是测试车辆中最便宜的车，可以选择是否配备无钥匙启动。然而，即使是一些昂贵，豪华的汽车也未能通过Thatcham的测试。[来源：安全内参]

美国两家化工巨头再遭LockerGoga勒索攻击

在新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro ，造成其关闭网络之后仅仅几天，它又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络。Hexion和Momentive公司主要生产树脂、有机硅和其他材料，由同一投资基金控制。两家公司于3月12日遭到勒索软件的袭击。根据Momentive一位匿名员工的说法，该攻击是在3月12日开始的。由于此次攻击，大量关键数据都从系统中丢失。公司的Windows计算机出现了蓝屏错误并且文件被加密。

根据Motherboard报道，该勒索软件与之前对Norsk Hydro的攻击有许多相似之处，因此研究人员也将此次攻击归因于LockerGoga勒索软件。Momentive公司承认遭遇勒索攻击，并为受勒索软件攻击影响的员工提高了新的工作电子邮箱帐户。由于攻击造成的网络中断，Momentive公司不得不紧急更换数百台计算机。[来源：MottoIN]

英伟达修复GeForce Experience软件严重漏洞

英伟达最近补丁，修复GeForce Experience中一个可能导致任意代码执行、拒绝服务（DoS）攻击或权限提升的潜在严重漏洞。NVIDIA GeForce Experience是一款搭配英伟达显卡的软件，它允许用户更新其驱动程序、优化游戏设置以及与其他用户共享内容。Rhino Security Labs的David Yesland发现该软件存在数个任意文件写入的潜在漏洞，这些问题允许攻击者覆盖任何系统文件，源于GeForce Experience使用SYSTEM权限写入数据的机制。

该缺陷被命名为CVE-2019-5674，可以通过覆盖关键系统文件来来进行DoS攻击。通过将命令注入特定的NVIDIA日志文件并在Windows Startup文件夹中创建恶意.bat文件，还可以利用此漏洞执行任意代码。只要用户登录，就会执行.bat文件，如果用户具有管理员权限，则会导致权限提升。[来源：securityweek]

12家企业因违反网络安全管理规定被上海网安依法查处

为维护清朗有序的网络空间，夯实属地企业主体责任，结合公安部“净网2019”专项行动要求，今年以来，上海公安网安部门在全市范围内开展了网络安全执法检查专项行动。在执法检查中发现，有12家企业存在未向公安机关履行备案义务，未落实用户实名制要求，未落实网络安全技术措施等违法违规行为。

上海公安网安部门根据《中华人民共和国网络安全法》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规，依法对12家企业予以行政处罚。[来源：上海网警]