又到了一年一度的NordPass发布年度最常见密码列表的时候了。

　　密码管理器供应商 NordPass 非常清楚密码质量的糟糕程度，该公司报告说，去年最失败的密码--"password"--下降到了第七位，但以前的领头羊仍然位居前列。

　　"123456 "是全球最流行的密码，其次是 "admin"、非常安全的 "12345678 "及其表亲 "123456789"。以数字 "1 "开头的4到10个字符的连续数字字符串通常在榜单上名列前茅，"未知"（UNKNOWN）也是如此，它实际上在众多密码中脱颖而出--NordPass排名的大多数密码都可以在一秒钟内破解，但 "未知"（UNKNOWN）却需要整整17分钟。

　　如果你想了解当地的情况，美国的NordPass用户似乎更喜欢使用通用密码，只有一个真正独特的密码--"shitbird"--进入了前20名。英国居民则更喜欢表达他们对球队的自豪感，"利物浦"、"阿森纳"、"切尔西 "和更通用的 "足球 "以及 "芝士 "和 "龙 "都进入了前20名。

　　根据 NordPass 的调查，流媒体平台似乎被大多数用户排在了密码优先级列表的末尾，与 NordPass 收录的其他凭证类别相比，用户采用的密码尤其糟糕。

　　正如我们似乎每年都要提醒大家的那样，密码越长越好，大小写字母与数字和符号相结合的密码也是如此。为了达到最 佳效果，请使用密码生成器，它能生成比 123456（甚至 UNKNOWN）更难猜的随机长字符串。

　　为了 IT 团队的健康，不要重复使用密码。也给自己买一个好的密码管理器--无论是 NordPass 还是其他什么，用点别的吧。

　　关键漏洞： 西门子棘手的一周

　　还记得我们在九月份报道的瞻博网络防火墙五大漏洞吗？这些漏洞单独来看风险都很低，但合并成 CVSS 9.8 后，攻击者就能在易受攻击的设备上远程执行代码。CISA表示，现在这些漏洞正在被利用。打补丁。

　　我们在本月早些时候报道的 SysAid 服务台软件中的 CVSS 9.8 漏洞也已被添加到 CISA 的已知漏洞数据库（与瞻博网络的漏洞处于同一警报中），因此也要确保安装了这些补丁。

　　此外，本月的 "周二补丁 "综述已涵盖了本周的大部分重大漏洞，但使用大量西门子产品的公司最好还是关注一下我们未列入的漏洞列表：

　　CVSS 10.0 - 多个 CVE： 多个 Red Lion Sixnet 远程终端设备中的固件无法对 TCP/IP 流量提出质疑，从而导致 RCE 攻击。

　　CVSS 9.8 - 多个 CVE： 所有版本的西门子 COMOS 软件都包含 16 个漏洞，可能导致 RCE、DoS、数据渗透和违反访问控制。

　　CVSS 9.8 - 多个 CVE： 运行 v4.41 之前软件的西门子 SIPROTEC 4 7SJ66 控制和监控设备存在一系列漏洞，可能导致 DoS、RCE 等。

　　CVSS 9.8 - 多个 CVE： 用于在网络上初始化西门子设备的西门子 SINEC PNI 2.0 版之前的软件未正确验证输入，易受 OOB 写入攻击。

　　CVSS 9.8 - 多个 CVE： 由于存在一系列漏洞，v3.3.5 之前的西门子 SIMATIC MV500 光学读取器软件版本存在 DoS、RCE 和权限升级风险。

　　CVSS 9.1 - 多个 CVE： 多个版本的西门子 Desigo CC 软件存在基于堆的缓冲区溢出和缓冲区超读漏洞，导致 RCE 攻击和 DoS。

　　CVSS 9.1 - 多个 CVE： 运行 4.5 版之前软件的多个系列 Siemens Scalance 交换机易受一系列漏洞攻击，攻击者几乎可以完全控制设备。

　　CVSS 8.4 - CVE-2022-47522：西门子 Scalance W700 系列 WAP 输入验证不当，允许攻击者窃取会话并披露信息。

　　CVSS 8.1 - 多个 CVE： 西门子 Ruggedcom APE1808 设备未正确验证输入，易受 SQL 注入攻击。

　　CVSS 8.0 - 多个 CVE： 西门子 SIMATIC PCS neo 4.1 之前的版本存在大量漏洞，可导致攻击者生成特权令牌、执行 SQL 语句等。

　　FCC出台新规打击 SIM 卡交换和端口输出欺诈行为

　　美国联邦通信委员会已颁布规则，打击日益增长的用户信息模块 (SIM) 交换和端口输出欺诈的安全风险。

　　在周三通过的一份报告和命令[PDF]中，联邦通信委员会宣布将开始要求无线服务提供商 "在进行 SIM 卡更换和号码移植之前使用安全的方法验证客户身份"--其中一种方法是以其他方式通知客户 SIM 卡更换或移植请求。电信公司还必须让客户选择阻止其账户上的 SIM 卡更换和端口，并向所有客户通知此类保护措施。

　　无线服务提供商还必须采用响应失败验证请求的流程（所以一定不要忘记账户 PIN 码），使客户更容易报告 SIM 卡和端口退出欺诈行为，并要求提供商保留所有 SIM 卡变更请求及其用于验证用户的方法的记录。

　　新勒索软件瞄准多年前就应修补的漏洞

　　CISA、联邦调查局（FBI）和多州信息共享与分析中心警告说，一种名为 Rhysida 的新型勒索软件非常活跃，具有持续性，可以利用一些已被证实的漏洞侵入薄弱网络。

　　Rhysida 于 5 月份首次被发现，主要针对教育、医疗保健、制造、IT 和政府部门--换句话说，就是关键部门--一旦进入网络，就会靠土地为生，并对受害者进行双重折磨。

　　通常情况下，Rhysida 背后的犯罪分子不会利用最前沿的零日漏洞来入侵网络。他们采取的是机会主义攻击方式，依靠的是像 ZeroLogon 这样的老漏洞--这是微软 Netlogon 中的一个漏洞，于 2020 年被发现并打上了补丁。如果你还没有修补这个漏洞，首先要做的就是先修补它： 为什么？其次，打上补丁。

　　除了针对众所周知的漏洞，Rhysida 的控制者还在利用其他面向外部的远程服务，特别是默认情况下未使用 MFA 的组织的 VPN 接入点。此外，还利用网络钓鱼诱骗受害者安装恶意工具包。