雷蛇被曝0day?

你的鼠標和鍵盤(pán)可能成為黑客工具

一個(gè)Razer Synapse的0day漏洞在Twitter上被披露，該漏洞允許攻擊者僅僅通過(guò)插入Razer鼠標或鍵盤(pán)就能獲得Windows的系統權限。

當把Razer設備插入Windows 10/11時(shí)，操作系統將自動(dòng)下載并開(kāi)始在電腦上安裝Razer Synapse軟件。Razer Synapse是一種允許用戶(hù)配置他們的硬件設備、設置宏，或映射按鈕的軟件。并且，Razer聲稱(chēng)在全球有超過(guò)1億的用戶(hù)使用該軟件。

然而，安全研究員jonhat在該軟件的安裝中發(fā)現了一個(gè)0day漏洞。該漏洞是一個(gè)本地權限升級（LPE）的漏洞，這意味著(zhù)攻擊者需要有一個(gè)Razer設備，以及對電腦的物理訪(fǎng)問(wèn)。但這同樣表示該漏洞很容易被利用，攻擊者只需花20美元購買(mǎi)一個(gè)Razer鼠標，并將其插入Windows 10就可以成為獲取系統權限。

系統權限是Windows中的最高用戶(hù)權限，允許在操作系統上執行任何命令。從理論上說(shuō)，如果一個(gè)用戶(hù)在Windows中獲得了系統權限，他就可以完全控制系統，安裝任何他們想要的東西，包括惡意軟件。

軟件安全是網(wǎng)絡(luò )安全的基本防線(xiàn)，據統計0day漏洞每年以100%速度增長(cháng)，而且修復周期極長(cháng)，極容易成為不法之徒的攻擊目標。在軟件開(kāi)發(fā)過(guò)程中加強安全建設，通過(guò)靜態(tài)代碼安全檢測等自動(dòng)化檢測工具，從源頭保證代碼規范安全，及時(shí)發(fā)現運行時(shí)出現的缺陷，在一定程度上減少因代碼問(wèn)題產(chǎn)生的缺陷及安全漏洞并進(jìn)行修正，從而為軟件運行提供一個(gè)安全環(huán)境，也為后續企業(yè)在維護網(wǎng)絡(luò )安全方面降低成本。

UPS官網(wǎng)被網(wǎng)絡(luò )釣魚(yú)活動(dòng)用來(lái)分發(fā)惡意軟件

據國外媒體報道，一個(gè)網(wǎng)絡(luò )釣魚(yú)活動(dòng)利用UPS官網(wǎng)的一個(gè)XSS漏洞來(lái)推送偽裝成發(fā)票文檔的惡意軟件文件，攻擊者假冒UPS發(fā)送釣魚(yú)郵件，聲稱(chēng)包裹出現異常，需要用戶(hù)自取，同時(shí)提供了一個(gè)指向UPS官網(wǎng)的鏈接，極具欺騙性。

這次網(wǎng)絡(luò )釣魚(yú)攻擊值得關(guān)注的一點(diǎn)是，攻擊者利用UPS.com中的XSS漏洞將站點(diǎn)的常規頁(yè)面修改為合法的下載頁(yè)面。此漏洞允許威脅行為者通過(guò)遠程Cloudflare worker分發(fā)惡意文檔，但使其看起來(lái)像是直接從UPS.com下載的。

這個(gè)網(wǎng)絡(luò )釣魚(yú)活動(dòng)的手段非常高明，因為訪(fǎng)問(wèn)URL的用戶(hù)會(huì )看到一個(gè)合法的ups.com URL，提示下載發(fā)票。這種策略可能會(huì )導致即使是經(jīng)驗豐富的受害者也會(huì )毫不猶豫地打開(kāi)發(fā)票鏈接，進(jìn)而下載惡意文件。據了解，該惡意文件名為“invoice_1Z7301XR1412220178”，是偽裝成UPS的運輸發(fā)票。

當用戶(hù)打開(kāi)這個(gè)惡意文檔時(shí)，所有文本都將無(wú)法讀取，并且文檔會(huì )提示用戶(hù)“啟用內容”以正確查看它。

公司企業(yè)應努力爭取零點(diǎn)擊。雖然看起來(lái)似乎難以達到，但人類(lèi)向來(lái)會(huì )為接近目標而自滿(mǎn)：10%的容忍率目標往往意味著(zhù)12%，2%的容忍目標最后會(huì )變成5%，而在62.5%的點(diǎn)擊后中招率面前，2%的容忍率目標依然會(huì )將企業(yè)網(wǎng)絡(luò )暴露在不可接受的風(fēng)險之中。假設不僅釣魚(yú)活動(dòng)是重大數據泄露的入口，而是每一次點(diǎn)擊都有可能帶來(lái)泄露風(fēng)險，業(yè)界應大聲呼吁“零容忍”?？山邮茱L(fēng)險的提法應就此終結。

個(gè)人數據在暗網(wǎng)的交易價(jià)格是多少？

近年來(lái)大規模數據泄露事件層出不窮，海量個(gè)人隱私數據在暗網(wǎng)上交易，但很少有人知道被泄露數據的“行情”和價(jià)格。近日，PrivacyAffairs調查了自2020年以來(lái)暗網(wǎng)市場(chǎng)的動(dòng)態(tài)，了解到了一些重點(diǎn)信息。

信用卡信息：余額超過(guò)2000美元的被盜銀行帳戶(hù)登錄信息，平均價(jià)格是120美元；包含CVV號碼等詳細信息的美國信用卡售價(jià)約為17美元；帶有PIN碼的克隆萬(wàn)事達卡售價(jià)約為25美元；賬戶(hù)余額為5000美元的信用卡，詳細信息的售價(jià)為240美元。加密貨幣賬戶(hù)：一個(gè)被黑的經(jīng)過(guò)驗證的Coinbase帳戶(hù)可以賣(mài)到610美元或更多；而經(jīng)過(guò)驗證的Kraken帳戶(hù)可以賣(mài)到810美元；Cex.io驗證賬戶(hù)的平均售價(jià)為710美元。偽造的實(shí)物文件：荷蘭、波蘭和法國護照的平均售價(jià)為4000美元。馬耳他護照在暗網(wǎng)上的售價(jià)高達6000美元。

Privacy Affairs發(fā)現，2021年的個(gè)人數據銷(xiāo)售量遠高于去年，假信用卡和ID供應商報告的銷(xiāo)售量有數千起，而且價(jià)格相比2020年普遍上漲。除了數量之外，在暗網(wǎng)可供購買(mǎi)的商品種類(lèi)也有所增加。

信息化是當今時(shí)代發(fā)展的大趨勢，代表著(zhù)先進(jìn)生產(chǎn)力，但隨之而來(lái)的是信息的泄露與濫用。在高度信息化的社會(huì )，無(wú)論是企業(yè)還是個(gè)人都應當樹(shù)立信息安全意識，在日常工作生活中通過(guò)清理遺留信息、拒絕訪(fǎng)問(wèn)未知網(wǎng)絡(luò )等手段，盡可能減少信息泄露的機會(huì )。一個(gè)不經(jīng)意的行為都可能造成個(gè)人信息的泄露，與其處理泄露信息后的各種麻煩，不如現在開(kāi)始從源頭做起保護好自己的個(gè)人信息。

網(wǎng)絡(luò )威脅情報團隊的新使命

網(wǎng)絡(luò )威脅情報(CTI)是當下發(fā)展最快的網(wǎng)絡(luò )安全細分領(lǐng)域之一，不僅技術(shù)和產(chǎn)品在不斷更新和演進(jìn)，方法論和理念也在迅速發(fā)展。

過(guò)去幾年，無(wú)論安全組織是否有專(zhuān)職人員，CTI一直被視為安全組織內的獨立支柱，它生成關(guān)于組織的各種威脅的報告。如今，CTI已經(jīng)由一個(gè)獨立支柱逐漸進(jìn)化為中心樞紐，為安全組織中的所有職能提供威脅相關(guān)的知識和優(yōu)先級信息。值得注意的是：這種變化需要思維方式和方法的轉變。

威脅情報方法的最新發(fā)展正在顛覆傳統的概念。威脅情報不再是一個(gè)獨立的支柱，而是應該在每個(gè)安全設備、流程和決策事件中吸收和考慮的東西。因此，威脅情報從業(yè)者的任務(wù)不再是簡(jiǎn)單地創(chuàng )建“威脅報告”，而是確保安全組織的每個(gè)部分都有效地利用威脅情報作為其日常檢測、響應任務(wù)的一部分，并進(jìn)行全面的風(fēng)險管理。

CTI 從業(yè)者的新使命是針對安全組織中的每個(gè)職能定制威脅情報，并使其成為該職能運營(yíng)不可或缺的一部分。同時(shí)，他們還要學(xué)習新的軟技能，以確保能夠與安全組織中的其他職能部門(mén)協(xié)作。

CTI從業(yè)者可以訪(fǎng)問(wèn)各種來(lái)源，使他們能夠監控網(wǎng)絡(luò )安全領(lǐng)域、其特定行業(yè)或公司持有的數據中的趨勢。與“傳統”情報一樣，知識共享也可以成為網(wǎng)絡(luò )情報的主要力量倍增器。雖然不斷發(fā)展的CTI模型使威脅情報實(shí)施變得更加復雜，因為包括了與不同功能的協(xié)作，但這種進(jìn)化也使威脅情報比以往任何時(shí)候都更有價(jià)值和影響更大。網(wǎng)絡(luò )威脅情報正在迎來(lái)黃金時(shí)代。

德國醫療巨頭輸液泵存在安全漏洞 邁克菲發(fā)布研究報告

B.Braun是德國一家全球領(lǐng)先的醫用耗材公司，生產(chǎn)基地遍布世界各地。近日，網(wǎng)絡(luò )安全公司邁克菲McAfee高級威脅研究小組披露了這家醫療設備巨頭制造的輸液泵中的5個(gè)安全漏洞，這些漏洞曾將全世界的患者置于一個(gè)危險的境地。

輸液泵是在逐步普及的一種醫療裝置，較之人工輸液要更穩定、更便利，常用于需要嚴格控制輸液速度和藥物劑量的場(chǎng)景，全球范圍內有超過(guò)2億次的靜脈輸液在使用B.Braun提供的存在漏洞的輸液泵。

通過(guò)利用這些漏洞，攻擊者可以更改輸液泵的配置方式，如輸液速度、藥物劑量，嚴重威脅到患者的生命安全。這些漏洞很可能會(huì )成為攻擊者的勒索工具，在患者的生命安全面前，醫院往往會(huì )屈服于勒索支付給攻擊者高額贖金。

之所以會(huì )使這種事態(tài)成為可能，是因為輸液泵的操作系統不檢查是從何處獲得命令或者是誰(shuí)向它發(fā)送了數據，從而給了攻擊者發(fā)起遠程攻擊的操作空間。使用未經(jīng)授權和未加密的協(xié)議也為攻擊者提供了多種途徑來(lái)訪(fǎng)問(wèn)輸液泵的內部系統。

這并不是首例關(guān)于輸液泵的安全事件，此前安全研究人員已經(jīng)發(fā)現了多個(gè)公司的輸液泵的安全漏洞。另一方面，修補漏洞并不意味著(zhù)事件已經(jīng)得到解決，很多醫院經(jīng)常使用過(guò)時(shí)的設備和軟件。據安全研究人員稱(chēng)，多年來(lái)，醫療行業(yè)在安全領(lǐng)域嚴重落后于其他行業(yè)。信息化進(jìn)程的發(fā)展不是針對某些行業(yè)的，而是整個(gè)社會(huì )。危機總是和新事物同時(shí)出現，未來(lái)每個(gè)行業(yè)的信息化發(fā)展都離不開(kāi)信息安全。

40%的SaaS資產(chǎn)面臨數據泄露風(fēng)險

DoControl最近發(fā)布的報告顯示，當今企業(yè)中存在大量無(wú)法管理的數據導致外部和內部威脅數量不斷增加，尤其是大量SaaS數據暴露。所有SaaS資產(chǎn)中，有40%無(wú)人管理，作為公共數據可供內部和外部訪(fǎng)問(wèn)。

SaaS數據暴露使公司面臨風(fēng)險：

據Gartner稱(chēng)，從2019年到2022年，全球SaaS收入將增長(cháng)近38%，超過(guò)1400億美元。盡管基于云的應用程序極大地提高了整個(gè)企業(yè)的效率和生產(chǎn)力，但CIO和CISO往往低估了一個(gè)重大威脅——SaaS提供商未經(jīng)檢查和不受管理的數據訪(fǎng)問(wèn)。

隨著(zhù)SaaS應用程序的日益普及，這種威脅呈指數級增長(cháng)，使企業(yè)面臨更大的數據泄露風(fēng)險。作為基準，人員規模平均1,000人的公司在SaaS應用程序中存儲50萬(wàn)到1000萬(wàn)個(gè)資產(chǎn)。允許公開(kāi)共享的公司資產(chǎn)多達20萬(wàn)項。

報告指出：“過(guò)去一年，疫情迫使許多企業(yè)與更多第三方合作，并調整其現有員工隊伍以支持遠程協(xié)作。迄今為止，安全從業(yè)者專(zhuān)注于以安全的方式啟用SaaS訪(fǎng)問(wèn)，現在是他們優(yōu)先考慮內部和外部數據訪(fǎng)問(wèn)相關(guān)性的時(shí)候了?！?/p>

無(wú)法管理的數據訪(fǎng)問(wèn)會(huì )帶來(lái)重大風(fēng)險并增加數據泄露的可能性，雖然 SaaS 應用旨在促進(jìn)協(xié)作，但在這個(gè)不斷增長(cháng)的攻擊面中，安全團隊必須注意大規模的持續數據訪(fǎng)問(wèn)。如何取得便利性和安全性的平衡，是關(guān)系到未來(lái)SaaS發(fā)展的核心問(wèn)題，目前可通過(guò)單租戶(hù)私有云架構、網(wǎng)絡(luò )傳輸加密、雙因身份驗證、數據訪(fǎng)問(wèn)控制及算法加密等手段在一定程度上保證用戶(hù)的數據安全。

企業(yè)安全漏洞管理失敗的三大頑疾

新型冠狀病毒給網(wǎng)絡(luò )安全專(zhuān)業(yè)人員帶來(lái)了巨大工作壓力。隨著(zhù)網(wǎng)絡(luò )安全預算緊張、遠程辦公的常態(tài)化，越來(lái)越復雜的威脅形勢已經(jīng)給漏洞管理提出了更加嚴峻的挑戰。

漏洞管理，絕不僅是掃描企業(yè)網(wǎng)絡(luò )是否存在威脅這么簡(jiǎn)單。漏洞管理的整體方法包括識別、報告、評估和確定暴露的優(yōu)先級。至關(guān)重要的是，它還涉及風(fēng)險管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞，還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。研究發(fā)現，企業(yè)安全漏洞管理工作失敗主要有三大原因：

一、管理無(wú)序，未進(jìn)行威脅優(yōu)先級排序

無(wú)法對威脅進(jìn)行正確優(yōu)先級排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴重的問(wèn)題之一。

二、不能堅持，缺乏連續性管理計劃

有效的漏洞管理計劃應該是持續的，而不是偶發(fā)的。

三、溝通不暢，管理團隊架構不清晰

當安全團隊沒(méi)有明確的溝通渠道和正確的組織結構時(shí)，一般都會(huì )出現問(wèn)題。團隊成員經(jīng)常沒(méi)有明確的角色，他們不了解自己在整體漏洞管理框架中的職責。

數據泄露數量逐年增加，一次數據泄露就可能導致嚴重的聲譽(yù)和財務(wù)損失，甚至企業(yè)關(guān)門(mén)倒閉。漏洞管理已經(jīng)不再只是IT支出的一個(gè)分支，它應該是一個(gè)關(guān)鍵的業(yè)務(wù)目標。為了實(shí)現高效漏洞管理，企業(yè)必須意識到漏洞管理應該是一個(gè)持續的、多階段的過(guò)程。當然，在IT部門(mén)內部，也應該刮骨療毒，徹底解決困擾漏洞管理效率的三大頑疾。