2023全球年度安全漏洞TOP 10
數(shù)字化轉(zhuǎn)型步伐不斷加快,社會各行業(yè)迎來了許多發(fā)展機遇,但與此同時面臨著日益復(fù)雜的數(shù)據(jù)安全和網(wǎng)絡(luò)安全威脅。其中,安全漏洞數(shù)量持續(xù)增長更是成為了各行各業(yè)不可忽視的挑戰(zhàn),尤其是在工業(yè)、金融、交通、國防、醫(yī)療和信息技術(shù)等領(lǐng)域,安全漏洞的爆發(fā)和利用對社會、企業(yè)和個人造成了巨大的安全風險。
據(jù)安全公司 Qualys 發(fā)布的《2023 年網(wǎng)絡(luò)威脅安全回顧》報告數(shù)據(jù)顯示,2023 年全球共披露了 26447 個計算機漏洞,為“歷年之最”,相比去年的 25050 個漏洞,同比增長5.2%。在已披露的漏洞中,超過 7000 個漏洞具有“概念驗證利用代碼”,易被黑客用于實際攻擊,其中更有 115 個漏洞已經(jīng)被黑客“廣泛利用”,雖然不及整體漏洞數(shù)量 1%,但已經(jīng)十分危險。
更糟糕的是,這些攻擊者的技術(shù)在不斷進步,屢屢創(chuàng)造出新的攻擊方式,針對社會重點行業(yè)發(fā)起猛烈攻擊,造成了巨大的經(jīng)濟損失。過去一年發(fā)生的數(shù)千起數(shù)據(jù)泄漏、勒索攻擊等安全事件清楚地表明,安全漏洞利用已經(jīng)成為威脅攻擊者最常用的攻擊途徑,需要高度重視和有效應(yīng)對。
接下來,本文從漏洞的危害程度、影響范圍和利用途徑出發(fā),深入盤點 2023 年最危險的 Top 10 ,旨在提高公眾對安全漏洞問題的認識和警覺性,幫助企業(yè)和個人更好地保護自身的信息和資產(chǎn)。
1、Microsoft Outlook 安全漏洞
CVE 編號:CVE-2023-23397
漏洞嚴重程度(CVSS 得分 9.8 分)
入選理由:在幾乎無處不在的 Outlook 應(yīng)用程序中,漏洞允許威脅攻擊者在竊取用戶的 Net-NTLMv2 哈希,被包括 APT 28 在內(nèi)的黑客組織已經(jīng)大規(guī)模利用。
Microsoft Outlook 是一款郵件管理軟件,是微軟公司的產(chǎn)品之一,具有日歷、任務(wù)列表、聯(lián)系人管理等功能。2023 年 3 月,研究人員發(fā)現(xiàn) Microsoft Outlook 存在安全漏洞 CVE-2023-23397,威脅攻擊者能夠通過發(fā)送特制的電子郵件,在 Outlook 客戶端檢索和處理時自動觸發(fā),導(dǎo)致受害目標連接到攻擊者控制的外部 UNC 位置。
這會將受害者的 Net-NTLMv2 散列泄露給攻擊者,然后攻擊者可以將其中繼到另一個服務(wù)并作為受害者進行身份驗證、成功利用此漏洞的威脅攻擊者可以訪問用戶的 Net-NTLMv2 哈希值,該哈希值可用作針對另一項服務(wù)的 NTLM 中繼攻擊的基礎(chǔ),以驗證用戶身份。
Microsoft Outlook 2016,2013,Microsoft Office 2019,Microsoft 365 Apps for Enterprise,Microsoft Office LTSC 2021均受該漏洞影響。
APT28 威脅組織自 2022 年 4 月以來一直在利用該漏洞,通過特制的 Outlook 筆記竊取 NTLM 哈希值,迫使目標設(shè)備在不需要用戶交互的情況下向攻擊者控制的 SMB 共享進行身份驗證。此外,利用該漏洞提升權(quán)限,該組織可在受害目標的環(huán)境中進行橫向移動,并更改 Outlook 郵箱權(quán)限,從而實施有針對性的電子郵件盜竊。更糟糕的是,盡管后來提供了安全更新和緩解建議,但仍然存在很大的攻擊面。
Recorded Future 在 6 月份警告說,APT28 威脅組織很可能利用 Outlook 漏洞攻擊烏克蘭的重要組織,10 月份,法國網(wǎng)絡(luò)安全局(ANSSI)又披露俄羅斯黑客利用該漏洞攻擊了法國的政府實體、企業(yè)、大學、研究機構(gòu)和智庫。
官方補丁:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
2、Adobe ColdFusion 代碼問題漏洞
CVE 編號:CVE-2023-29300
漏洞嚴重程度(CVSS 得分 9.8 分)
入選理由:未經(jīng)身份驗證的遠程威脅攻擊者通過構(gòu)造惡意數(shù)據(jù)包進行反序列化攻擊,最終實現(xiàn)在目標系統(tǒng)上執(zhí)行任意代碼,目前漏洞已經(jīng)被發(fā)現(xiàn)在野被廣泛利用。
Adobe ColdFusion 是一種用于構(gòu)建動態(tài) Web 應(yīng)用程序的服務(wù)器端編程語言和開發(fā)平臺,由 Adobe Systems 開發(fā)和維護,并使用 Java 虛擬機(JVM)作為其運行環(huán)境,ColdFusion 支持多種編程語言,包括CFML(ColdFusion標記語言)、JavaScript、Java、.NET 和其他 Web技術(shù),如 HTML、CSS 和 SQL。
2023 年 7 月,CrowdStrike 的安全研究員 Nicolas Zilio發(fā)現(xiàn) CVE-2023-29300 安全漏洞,受影響版本包括Adobe ColdFusion 2018 <= Update 16、Adobe ColdFusion 2021 <= Update 6、Adobe ColdFusion 2023 = GA Release (2023.0.0.330468)等。鑒于 Adobe ColdFusion 對反序列化安全檢查存在 CVE-2023-29300 安全漏洞,未經(jīng)身份驗證的遠程威脅攻擊者通過構(gòu)造惡意數(shù)據(jù)包進行反序列化攻擊,最終可實現(xiàn)在目標系統(tǒng)上執(zhí)行任意代碼。
數(shù)據(jù)顯示, 在全球范圍內(nèi)共 48.5 萬個目標設(shè)備受到 CVE-2023-29300 安全漏洞影響,其中第一名美國 32.5+個,第二名加拿大 4+ 萬個,第三名德國1.6 +萬個,多個業(yè)內(nèi)知名黑客組織正在利用漏洞,謀劃網(wǎng)絡(luò)攻擊活動。
官方補丁:https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
3、GitLab 任意文件讀取漏洞
CVE 編號:CVE-2023-2825
漏洞嚴重程度(CVSS 得分 10分)
入選理由:一旦威脅攻擊者成功利用 CVE-2023-2825 漏洞,包括專有軟件代碼、用戶憑證、令牌、文件和其他私人信息在內(nèi)的敏感數(shù)據(jù)都可能被竊取。
GitLab 是管理 Git 存儲庫的平臺,主要提供免費的公共和私人存儲庫,問題跟蹤和維基,不僅如此, GitLab 還提供了自己的持續(xù)集成(CI)系統(tǒng)來管理項目,并提供用戶界面以及 GitLab 的其他功能。目前已擁有約 3000 萬名已注冊用戶以及 100 萬名付費客戶。
一位名叫 pwnie 的安全研究人員在 GitLab 中發(fā)現(xiàn) CVE-2023-2825 安全漏洞,隨后在 GitLab 的 HackOne 漏洞獎勵計劃中報告了這個安全問題。據(jù)悉,該漏洞影響 GitLab社區(qū)版(CE)和企業(yè)版(EE)的 16.0.0 版本。
CVE-2023-2825 漏洞源于路徑遍歷問題,當一個附件存在于至少五個組內(nèi)嵌套的公共項目中時,未經(jīng)認證的威脅攻擊者可以輕松在服務(wù)器上讀取任意文件。此外,利用 CVE-2023-2825 漏洞還可能會暴露包括專有軟件代碼、用戶憑證、令牌、文件和其他私人信息在內(nèi)的敏感數(shù)據(jù)。
威脅攻擊者可以讀取服務(wù)器上的任意文件,例如配置文件、密鑰文件、日志文件等,造成信息泄露或進一步的攻擊。安全研究人員通過長時間追蹤發(fā)現(xiàn),全球共 40 多萬個使用記錄,其中中國接近 17 萬個,德國 5 +萬個,美國接近 5 萬個。
官方補丁:https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
4、Cisco IOS XE Software 安全漏洞
CVE 編號:CVE-2023-20198
漏洞嚴重程度(CVSS 得分 10 分)
入選理由: CVE-2023-20198 漏洞允許威脅攻擊者獲得設(shè)備中最高等級的 Level 15 權(quán)限,可以在受害目標系統(tǒng)內(nèi)做“任何事”!
Cisco IOS XE Software 是美國思科(Cisco)公司的一個操作系統(tǒng),用于企業(yè)有線和無線訪問,匯聚,核心和WAN的單一操作系統(tǒng),Cisco IOS XE 降低了業(yè)務(wù)和網(wǎng)絡(luò)的復(fù)雜性。
研究人員發(fā)現(xiàn) Cisco IOS XE Software 存在一個高危安全漏洞 CVE-2023-20198 ,該漏洞源于命令授權(quán)限制不足。當 Cisco IOS XE 軟件的 web UI 暴露于互聯(lián)網(wǎng)或不受信任的網(wǎng)絡(luò)時,未經(jīng)身份驗證的遠程威脅攻擊者可以利用該漏洞在受影響的系統(tǒng)上創(chuàng)建具有 15 級訪問權(quán)限的帳戶,攻擊者可以利用該帳戶來控制受影響的系統(tǒng)。(思科 IOS 系統(tǒng)的權(quán)限級別 15 基本上意味著可以完全訪問所有命令,包括重載系統(tǒng)和更改配置的命令。)
更糟糕的是,威脅攻擊者通過 CVE-2023-20198 漏洞創(chuàng)建的本地賬戶具有持久性,即使管理員重啟設(shè)備,威脅攻擊者依舊能夠繼續(xù)獲得受影響系統(tǒng)的管理員級訪問權(quán)限。研究人員敦促企業(yè)注意 IOS XE 設(shè)備上的新用戶或未知用戶,這是攻擊者利用該漏洞的潛在證據(jù)。同時,思科塔洛斯團隊還提供了一個命令程序,企業(yè)可使用該命令確定受影響設(shè)備上是否存在該植入。
CVE-2023-20198 漏洞已導(dǎo)致多國的“重要企業(yè)“遭到黑客攻擊,根據(jù) Censys 和 LeakX 的數(shù)據(jù)來看,估計有超過 41000 臺運行易受攻擊的 IOS XE 軟件的思科設(shè)備已被利用漏洞的威脅攻擊者破壞。
官方補丁:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
5、Atlassian Confluence Server 安全漏洞
CVE 編號:CVE-2023-22515
漏洞嚴重程度(CVSS 得分 10 分)
入選理由:在無需用戶交互的復(fù)雜度較低的情況下,威脅攻擊者可輕易利用漏洞創(chuàng)建管理員帳戶。
Atlassian Confluence Server 是澳大利亞 Atlassian 公司的一套具有企業(yè)知識管理功能,并支持用于構(gòu)建企業(yè)WiKi 的協(xié)同軟件的服務(wù)器版本。 2023 年 10 月,安全專家在 Atlassian Confluence Server 中發(fā)現(xiàn)安全漏洞 CVE-2023-22515,影響 800--804810--814820--823830--832840--82850--8.5.1 等多個版本。根據(jù) CVSS 嚴重性評級系統(tǒng),漏洞被評為 10.0 分。
外部威脅攻擊者可能利用 CVE-2023-22515 漏洞公開訪問 Confluence Data Center 和 Confluence Serve,微軟的威脅情報團隊指出,自 2023 年 9 月 14 日以來,已經(jīng)觀察到 CVE-2023-22515 漏洞在野外被威脅攻擊者大規(guī)模濫用。
CVE-2023-22515 安全漏洞在全球范圍內(nèi)共約有 5 萬個使用記錄,其中中國1.5+萬個,美國和德國接近 1 萬個。更糟糕的是,威脅攻擊者可以利用任何與易受攻擊應(yīng)用程序有網(wǎng)絡(luò)連接的設(shè)備來利用 CVE-2023-22515 安全漏洞,在應(yīng)用程序中創(chuàng)建一個 Confluence 管理員賬戶。
官方補丁:https://confluence.atlassian.com/pages/viewpage.action?pageId=1295682276
6、Apache ActiveMQ 遠程代碼執(zhí)行漏洞
CVE 編號: CVE-2023-46604
漏洞嚴重程度(CVSS 得分 10 分)
入選理由:CVE-2023-46604 漏洞允許攻擊者通過利用 OpenWire 協(xié)議中的序列化類類型來執(zhí)行任意 shell 命令,研究人員發(fā)現(xiàn)漏洞被 Kinsing 惡意軟件和加密貨幣礦工多次利用,Kinsing還使用它來下載和安裝惡意軟件。
Apache ActiveMQ 是最流行的開源、多協(xié)議、基于 Java 的消息代理。它支持行業(yè)標準協(xié)議,用戶可以在各種語言和平臺上獲得客戶端選擇的好處,用 JavaScript、C、C++、Python、.Net 編寫的客戶端連接等,使用無處不在的 AMQ P協(xié)議集成多平臺應(yīng)用程序,通過 websockets 使用 STOMP 在 web 應(yīng)用程序之間交換消息。
2023 年 10 月份,在 Apache ActiveMQ 發(fā)布的新版本中修復(fù)了一個遠程代碼執(zhí)行漏洞 CVE-2023-46604。該漏洞是由于在 BaseDataStreamMarshaller 方法中未對接收的數(shù)據(jù)進行必要的檢查,威脅攻擊者可通過構(gòu)造惡意數(shù)據(jù)包通過默認的 61616 端口利用該漏洞,最終在服務(wù)器上實現(xiàn)遠程代碼執(zhí)行。
受影響的 Apache Active MQ 和 Legacy OpenWire Module 應(yīng)用版本是 5.18.0<=Apache ActiveMQ<5.18.3、5.17.0<=Apache ActiveMQ<5.17.6、5.16.0<=Apache ActiveMQ<5.16.7、5.15.0<=Apache ActiveMQ<5.15.15。
據(jù)悉,Kinsing 惡意軟件以及 HelloKitty 勒索軟件等背后的黑客組織一直積極利用 CVE-2023-46604 漏洞。威脅攻擊者利用安全漏洞來進行針對 Linux 系統(tǒng)的攻擊和推送 TellYouThePass 勒索軟件的初始訪問,中國、美國、德國、印度、荷蘭、俄羅斯、法國和韓國等國家成為了攻擊者主要目標。
官方補丁:https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
7、Citrix NetScaler ADC 會話劫持及網(wǎng)關(guān)漏洞
CVE 編號:CVE-2023-4966
漏洞嚴重程度(CVSS 得分 9.4 分)
入選理由:DP World、Allen & Overy和波音等多家知名巨頭公司都受到了 CVE-2023-4966 安全漏洞的影響,Lockbit 等臭名昭著的勒索軟件一直在積極利用漏洞。
Citrix NetScaler ADC(Application Delivery Controller)是一個高級的負載均衡器和網(wǎng)絡(luò)性能優(yōu)化解決方案。2023 年 10 月 10 日,安全研究人員發(fā)現(xiàn)并披露 Citrix Bleed CVE-2023-4966 漏洞。
據(jù)悉, CVE-2023-4966 漏洞影響 NetScaler ADC 和 NetScaler Gateway 14.1版本之前的14.1-8.50、NetScaler ADC 和 NetScaler Gateway 13.1 版本之前的 13.1-49.15、NetScaler ADC 和 NetScaler Gateway 13.0 版本之前的 13.0-92.19、NetScaler ADC 13.1-FIPS版本之前的13.1-37.164、NetScaler ADC 12.1-FIPS版本之前的12 等多個版本的 Citrix NetScaler ADC 和 NetScaler Gateway 產(chǎn)品。
2023 年 8 月下旬,網(wǎng)絡(luò)安全研究人員持續(xù)發(fā)現(xiàn) CVE-2023-4966 漏洞在野被利用,根據(jù)攻擊事件中成功利用CVE-2023-4966的結(jié)果,這個漏洞會導(dǎo)致 NetScaler ADC 和網(wǎng)關(guān)設(shè)備上的合法用戶會話被接管,會話接管繞過了密碼和多重身份驗證。威脅攻擊者使用特制的 HTTP GET 請求,迫使目標設(shè)備返回身份驗證后和 MFA 檢查后發(fā)布的有效 Netscaler AAA 會話 cookie 等系統(tǒng)內(nèi)存內(nèi)容,在竊取這些驗證 cookie 后,網(wǎng)絡(luò)攻擊者可以無需再次執(zhí)行 MFA 驗證,便可訪問設(shè)備。
更糟糕的是,CVE-2023-4966 漏洞被業(yè)內(nèi)臭名昭著 LockBit 勒索軟件盯上了,研究人員發(fā)現(xiàn)疑似 LockBit 勒索軟件組織正在利用其發(fā)起網(wǎng)絡(luò)攻擊攻擊活動,通過越界竊取 cookie 等敏感信息,從而繞過身份驗證,獲取系統(tǒng)權(quán)限,然后植入勒索病毒進行勒索攻擊。
官方補丁:https://support.citrix.com/article/CTX579459
8、MoveIT SQL 注入漏洞
CVE 編號:CVE-2023-34362
漏洞嚴重程度(CVSS 得分 10 分)
入選理由:包括美國、中國、德國在內(nèi)的 1500 多萬設(shè)備可能受到漏洞影響。
MoveIT 是 MoveIT 公司的一款針對機械臂移動操作的最先進的軟件。2023 年 5 月底,旗下產(chǎn)品 Progress MOVEit Transfer 被曝存在 SQL 注入漏洞 CVE-2023-34362,受影響的產(chǎn)品和版本: Progress MOVEit Transfer 2021.0.6 (13.0.6)之前版本,2021.1.4 (13.1.4)版本, 2022.0.4 (14.0.4)版本, 2022.1.5 (14.1.5)版本, 2023.0.1 (15.0.1)版本。
CVE-2023-34362 安全漏洞允許未經(jīng)身份驗證的遠程威脅攻擊者利用其獲得對數(shù)據(jù)庫的訪問,根據(jù)使用的數(shù)據(jù)庫引擎(MySQL, Microsoft SQL Server,或Azure SQL),威脅攻擊者可利用該漏洞可能能夠推斷有關(guān)數(shù)據(jù)庫的結(jié)構(gòu)和內(nèi)容的信息,或執(zhí)行 SQL 語句,修改或刪除數(shù)據(jù)庫元素,通過手工字符串發(fā)送到唯一的MOVEit Transfer 事務(wù)類型。
CVE-2023-34362 安全漏洞在全球范圍內(nèi)被各個威脅攻擊者廣泛利用,通過資產(chǎn)測繪系統(tǒng) zoomeye 平臺發(fā)現(xiàn),目前公網(wǎng)披露 Progress 產(chǎn)品全球共 15365823 個使用記錄,其中美國 4306551個、中國 1596918個、德國 1072761 個。
官方補丁:https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
9、蘋果處理器集群后門
CVE 編號:CVE-2023-32434、CVE-2023-32435、CVE-2023-38606、CVE-2023-41990
入選利用:威脅攻擊者利用漏洞鏈,發(fā)動了對俄羅斯 iPhone 手機用戶長達四年的監(jiān)視,是歷史上最復(fù)雜的間諜軟件攻擊之一。
2023 年末,卡巴斯基安全研究人員 Boris Larin 發(fā)布了 可能是 iPhone 史上復(fù)雜程度最高、影響最廣泛的的間諜軟件攻擊之一的三角測量 Triangulation 的詳細情況細節(jié)。(業(yè)內(nèi)人士認為 自 2019 年以來,Triangulation 攻擊一直被用來監(jiān)聽 iPhone 用戶。
卡巴斯基對三角測量的跟蹤要追溯到 2023 年 6 月。當時,俄羅斯政府首次曝光了大規(guī)模的 iPhone 后門活動,威脅攻擊者利用三角測量攻擊感染了大量俄羅斯外交使團和數(shù)千名使館工作人員的 iPhone。隨后,卡巴斯基方面的研究人員開始對其進行深入分析發(fā)現(xiàn),威脅攻擊者在三角測量攻擊中使用了多達四個零日漏洞漏洞詳情如下:
CVE-2023-32434,CVSS評分: 7.8分,內(nèi)核中的整數(shù)溢出漏洞,惡意應(yīng)用程序可利用該漏洞以內(nèi)核權(quán)限執(zhí)行任意代碼;CVE-2023-32435,CVSS評分: 8.8分,Webkit 中的內(nèi)存損壞漏洞,在處理特制的 Web 內(nèi)容時可能導(dǎo)致任意代碼執(zhí)行;CVE-2023-38606,CVSS評分: 5.5分,Apple kernel 安全特性繞過漏洞,攻擊者使用惡意應(yīng)用程序利用該漏洞能夠修改敏感的內(nèi)核狀態(tài),從而可能控制設(shè)備;CVE-2023-41990,CVSS評分: 7.8分,該漏洞是處理字體文件的過程中可能導(dǎo)致任意代碼執(zhí)行,是該漏洞利用鏈“初始入口點”;
這些漏洞組合在一起形成了一個零點擊漏洞鏈,威脅攻擊者可以利用其提升自身權(quán)限、執(zhí)行遠程代碼執(zhí)行命令,甚至可以完全控制設(shè)備和用戶數(shù)據(jù),導(dǎo)致無需任何用戶交互即可執(zhí)行代碼,并從攻擊者的服務(wù)器下載其他惡意軟件。在四年時間里,威脅攻擊者瘋狂的襲擊了 iOS 16.2 之前的所有 iOS 版本,不僅涉及到 iPhone,還包括 Mac、iPod、iPad、Apple TV 和 Apple Watch 等。
10、TETRA 漏洞集群后門
CVE 編號:CVE-2022-24401、CVE-2022-24402、CVE-2022-24404、CVE-2022-24403與CVE-2022-24400
入選理由:后門存在于關(guān)鍵基礎(chǔ)設(shè)施中用于商業(yè)用途的無線電中加密算法中,主要用于管道、鐵路、電網(wǎng)、公共交通和貨運列車中傳輸加密數(shù)據(jù)和命令,幾乎影響所有使用 TETRA 協(xié)議的國家。
三名荷蘭安全研究人員在名為 TETRA(地面集群無線電)的歐洲無線電標準中發(fā)現(xiàn)了五個漏洞。威脅攻擊者能夠輕松利用漏洞干預(yù)軍警或關(guān)鍵基礎(chǔ)設(shè)施的無線通信,這也是 20 年來首個針對 TETRA 標準的安全研究。
TETRA 是在 1995 年由歐洲電信標準協(xié)會(European Telecommunications Standards Institute,ETSI)所制定的無線通信標準,被廣泛應(yīng)用于全球超過 100 個國家,也是美國地區(qū)之外最普及的警用無線電通信系統(tǒng)。TETRA 基于許多密碼學算法之上,涵蓋 TETRA 身份認證算法 TAA1,以及從 TEA1 到 TEA4 的TETRA 加密算法組件,其中的 TEA1 與 TEA4 可供商業(yè)使用,TEA2 與 TEA3 則是專供緊急服務(wù)使用。
TETRA 中發(fā)現(xiàn)5個安全漏洞,分別是 CVE-2022-24401、CVE-2022-24402、CVE-2022-24404、CVE-2022-24403 與 CVE-2022-24400。前兩個屬于重大(Critical)漏洞,CVE-2022-24401 漏洞起因于用來生成無線通信空中接口加密密鑰的 Air Interface Encryption(AIE)系統(tǒng),所依賴的網(wǎng)絡(luò)時間是公開廣播的,可能引發(fā)解密預(yù)言攻擊;涉及 TEA1 算法的 CVE-2022-24402 漏洞則可將原本 80 位的密鑰,縮短成可于幾分鐘之內(nèi)成功暴力破解的長度。
TETRA 漏洞危害極大,研究人員一再強調(diào)任何使用無線電技術(shù)的組織都應(yīng)立刻向其制造商詢問,以確定其自身部署的設(shè)備是否使用了 TETRA 標準,以及有哪些可用的修復(fù)或緩解措施。
