美国网络安全与基础设施安全局（CISA）近日废止了2019年至2024年间发布的10项紧急指令，并表示相关要求措施已完成执行，或已被《约束性操作指令22-01》涵盖。

CISA称这是该机构首次一次性废止如此大量的紧急指令。

"CISA依据法规发布紧急指令，旨在快速应对新兴威胁，并通过尽可能缩短指令有效期来降低影响，"CISA解释道。

"在对所有现行指令进行全面审查后，CISA确认所需措施已成功实施，或已纳入《约束性操作指令（BOD）22-01：降低已知已遭利用漏洞的重大风险》的范畴。"

《约束性操作指令22-01》利用该机构的已知已遭利用漏洞（KEV）目录，向联邦民事机构通报正在被利用的安全漏洞，并明确系统必须完成修补的时间节点。

紧急指令旨在应对紧迫风险，仅在必要时保持有效。

今日废止的紧急指令完整列表如下：

• ED 19-01：缓解DNS基础设施篡改风险
• ED 20-02：缓解2020年1月补丁星期二披露的Windows漏洞
• ED 20-03：缓解2020年7月补丁星期二披露的Windows DNS服务器漏洞
• ED 20-04：缓解2020年8月补丁星期二披露的Netlogon权限提升漏洞
• ED 21-01：缓解SolarWinds Orion代码泄露事件
• ED 21-02：缓解Microsoft Exchange本地部署产品漏洞
• ED 21-03：缓解Pulse Connect Secure产品漏洞
• ED 21-04：缓解Windows打印后台处理程序服务漏洞
• ED 22-03：缓解VMware漏洞
• ED 24-02：缓解国家行为体入侵微软企业邮件系统带来的重大风险

这些指令多数针对曾被快速利用的漏洞，这些漏洞现已被纳入CISA的KEV目录。

根据BOD 22-01要求，联邦民事机构必须在CISA设定的截止日期前修补KEV目录中列出的漏洞。默认情况下，对于2021年前分配的CVE漏洞，机构最多有六个月修复时间；较新的漏洞则需在两周内完成修复。

但若认定为高风险漏洞，CISA可设定更短的修补时限。

近期案例中，相关机构被要求在一日内修补受主动利用漏洞CVE-2025-20333和CVE-2025-20362影响的Cisco设备。

美国网络安全与基础设施安全局（CISA）已将HPE OneView的一个最高危漏洞标记为在攻击中遭主动利用。

HPE的OneView基础设施管理软件可帮助IT管理员通过集中式界面自动化管理存储设备、服务器和网络设备。

该关键安全漏洞编号为CVE-2025-37164，由越南安全研究员Nguyen Quoc Khanh（brocked200）向HPE报告，HPE于12月中旬发布了安全补丁。

CVE-2025-37164影响v11.00之前发布的所有OneView版本，未经身份验证的威胁行为者可通过低复杂度代码注入攻击，在未打补丁的系统上实现远程代码执行。

HPE于12月16日警告称：“惠普企业版OneView软件中已发现潜在安全漏洞。该漏洞可能被利用，允许未经身份验证的远程用户执行远程代码。”

CVE-2025-37164暂无缓解措施，因此HPE建议客户尽快升级至OneView 11.00或更高版本（可通过HPE软件中心获取）。

CISA还将该漏洞添加至其野外利用漏洞目录，根据2021年11月发布的《约束性操作指令22-01》要求，联邦民事行政部门机构需在三周内（即1月28日前）完成系统加固。

尽管BOD 22-01仅针对联邦机构，但CISA鼓励所有组织（包括私营机构）尽快针对此遭主动利用的漏洞修补设备。

CISA周三警告称：“请根据供应商说明实施缓解措施，遵循BOD 22-01对云服务的适用指导，若无法缓解则停止使用该产品。”

该机构补充道：“此类漏洞是恶意网络行为者的常用攻击载体，对联邦企业构成重大风险。”

今年7月，HPE还曾警告Aruba Instant On接入点存在硬编码凭证，可能使攻击者绕过标准设备认证。此前一个月，该公司为其StoreOnce基于磁盘的备份与重复数据删除解决方案修补了八个漏洞，包括三个远程代码执行漏洞和一个高危身份验证绕过漏洞。

HPE在2024年报告营收301亿美元，全球员工超6.1万人，为全球超过5.5万家组织提供服务与产品，其中涵盖90%的财富500强企业。

  研究员工发觉了两个妨碍交通控制器的潜在严重漏洞。利用安全漏洞可能会对现实世界形成严重妨碍，但他们尚未修复。

  网络防御研究员Amin告知日本网路安全和基础设备安全局(CISA)，他早已在EOS中看到了严重和高严重性漏洞，这是一种为和其它初级交通控制器(ATC)研发的交通控制器硬件。

  这家总部坐落加州的供应商网站称，它早已部署了360多个平台、150,000个交通机柜、120,000个交通控制器和少于160,000个继电器。2022年12月，该公司报告称其EOS软件的加装量已少于10,000次。

  Amin发现了两种类别的纰漏。其中一个被评为“严重程度”并被追踪为CVE-2023-0452，CISA将其叙述为与使用弱算法散列特权客户凭据相关的弊端。

  “无需身份验证即可访问的配置文件使用MD5哈希来加密凭据，包括管理员和科技员工的凭证，”CISA在其通告中表示。

  第二个弊端，跟踪为CVE-2023-0451并被评为“高严重性”，是一个不恰当的访问控制问题。攻击者可以查看日志、数据库和配置文件，其中或许包含客户（涵盖管理员和科技员工）的顾客名和密钥哈希值。

  这种漏洞可能准许擅自身份验证的近程防御者荣获对流量控制用途的完全控制。

  Amin进行了互联网搜索，以查看有多少EOS系统曝露于来自网路的功击。他告诉，他确认了大概50个运行旧固件的曝露控制器。这些平台不受他发觉的弊端的妨碍，但他们仍旧不安全。

  据悉，他还发觉大约30个控制器运行2018-2020版本的EOS软件，这些平台容易遭到远程防御。

  他还发觉了大概500个关联设施实例远程控制软件 黑客，这些例子可以在受妨碍的控制器附近找到，包括路由器和摄像头，它们都有自己的安全难题。

  研究员工在上的一篇帖子中解释说，易受伤害的器材通常坐落收费道路和小城镇和市区。虽然显露的器材不在大城镇，但他们貌似确实靠近国际车站、边境海关、购物中心、大学和诊所。

  成功借助这种漏洞的黑客可以控制交通讯号灯，但探究人员强调，他们难以将所有讯号灯都变为红色，这将对安全导致严重妨碍。

  “尽管这么，攻击者仍旧可以让通过受控十字路段更加特别困难，使蓝色很短，红色很长，或者仅仅在一个方向上红色很长，”研究员工解释道。“攻击者可以为失衡的汽车创立VIP路线[并]减弱一些目标车辆的速率，比如这些有名贵物品的汽车。以及更多。人们会丧失时间、金钱，但愿不会丧失生命。”

  他补充说，一旦她们荣获了控制器的访问权限，攻击者还可以侵入相关器材，例如继电器和摄像头。

  供应商没有否认的置评请求。

  CISA最初在其通告中表示，没有对该机构协调漏洞披露的尝试作出否认。然而，在Amin在上叙述了他的发觉的妨碍后视频培训脚本，CISA更新了其通告，称该公司正在研究补丁。

  在公布补丁之前网络培训脚本插件，Amin建议断开受妨碍的控制器与互联网的联接脚本源码，确保控制器板卡免受数学攻击（对控件具备数学访问权限的功击者可以完全控制平台）远程控制软件 黑客，隔离容纳控制器的网路，安装固件升级可用时，更改密码和WLAN访问代码。

  原文始发于微信公众号（祺印说信安）：交通控制器漏洞允许远程黑客攻击