安全焦点
The Signal、脸书和谷歌聊天应用漏洞,能让攻击者监视用户
该漏洞在多个视频会议应用中被发现,利用漏洞,攻击者能在用户接听之前擅自监听其环境。The Signal、谷歌Duo、Facebook Messenger、JioChat和摩卡通讯应用程序中发现的这些漏洞现已全部修复。
Raindrop被查明是SolarWinds攻击中使用的第四种恶意软件
赛门铁克公司的专家称发现了这一恶意装载软件。攻击者利用该软件进行了内网漫游并部署了更多的有效载荷。
FBI警告:防范通过电话、聊天的网络钓鱼
联邦调查局已发布通知,表示攻击者正在通过电话语音仿冒和聊天针对企业发起网络钓鱼攻击。
安全风险
2020年五大漏洞之二
CVE-2020-3992/ZDI-20-1377:VMware ESXi SLP用后释放远程代码执行漏洞
这个漏洞是由ZDI漏洞研究人员Lucas Leong发现的,ESXi是由VMWare开发的企业级管理程序,ESXi中默认启用的协议之一是服务位置协议(SLP)。SLP是一种使客户端能够发现网络服务的协议,目前最流行的SLP实现就是OpenSLP了。然而,Lucas发现ESXi使用的是他们自己的定制实现方式。重要的是,这个自定义实现中存在设计缺陷,从而导致了两个严重的安全问题出现。其中一个安全问题将导致程序在SLPDProcessMessage()中释放SLPMessage对象,但是该程序仍会在SLPDatabase结构中保留对已释放对象的引用。这也就导致了用后释放(UAF)的情况出现,而远程攻击者将能够通过网络来触发并利用该漏洞。这个漏洞最初被标记为了ZDI-CAN-11563。但是,VMWare所提供的安全补丁并没有完全解决这个问题,这便导致了ZDI-CAN-12190的出现。应该注意的是,除了可以远程利用之外,这些SLP问题还可以被攻击者利用来帮助在受限环境中运行的程序实现沙箱逃逸。这也足以证明,即使是经过大量研究的产品,比如说ESXi,也有可能存在严重的攻击面,这些攻击面往往容易被忽视,因此存在较严重的安全风险。
企业安全
企业安全有哪些事?(3)
基础的网络安全是绝大多数在甲方的安全团队能cover的事情,不管你的安全团队能力如何,在公司里有无影响力,这个是必须要做的因为这是把你招过来的初衷。再往后的发展,是否止于此则看各人的想法,对于沉醉攻防技术的人其实不需要往后发展了这些足够了,但如果你的安全团队富有活力和想法,即便你想止于此他们也不干,把部门做大做强是这些人的愿望,只有这样才能给安全团队更大的空间,因为这点跟乙方是不一样的:对于乙方而言你可以在某个单点领域上无限深挖,而不会遇到天花板,因为你始终是在满足主营业务的需求,即使你成为骨灰级的专家公司也会对你在某方面创新有所期待而给你持续发展的可能性,但是在甲方,安全不是主营业务,归根结底是一个保值型的后台职能,不是一个能创造收益的前台职能,他是一个成本中心而非盈利中心,他的成本的大小跟业务规模以及公司盈利能力相关,公司发展时他的budget和headcount会发展,业务停滞时安全做的再好也不会追加投入,因为无此必要。反面的例子也有:做的不好反而追加投入的,那是一种政治技巧而非现实需要。如果你在乙方的研究部,无论你的漏洞挖掘技能多牛逼,公司都不会跳出来说“你已经超出我们需求了,你还是去更NB的公司吧”(通常情况)。但是在甲方,假设是在一个国内排名大约TOP5-TOP10的互联网公司,养一个漏洞挖掘的大牛也会觉得很奇怪,他是在给公司创造价值还是在自娱自乐是会受到质疑的,CSO也会被质疑是否花了大价钱挖来的人不是出于业务需要而是用于扩大自己团队在业内影响力这种务虚的事。假如公司到了google这种级别,有一大堆产品,储备大牛则是顺利成章的,业务上显然是有这种需求的,不过还是要看产出是否对主营业务有帮助,工作成果不能转化为主营业务竞争力的尝试性活动在公司有钱的时候无所谓,在公司收紧腰带时则其存在价值会受到质疑。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
