网络附加存储 (NAS) 设备制造商 Synology 已修复了 Pwn2Own 黑客竞赛中被利用的两个关键零日漏洞。
Midnight Blue 安全研究员在该公司的 Synology Photos 和 BeePhotos for BeeStation 软件中发现了关键的零点击漏洞(一起追踪为 CVE-2024-10443,并称为 RISK:STATION)。
正如 Synology 在 Pwn2Own Ireland 2024 上演示这些漏洞劫持 Synology BeeStation BST150-4T 设备,两天后发布的安全公告中所解释的那样,这些安全漏洞使远程攻击者能够以 root 身份在在线暴露的易受攻击的 NAS 设备上获得远程代码执行。
Midnight Blue 表示:“该漏洞最初是在几个小时内被发现的,作为另一个 Pwn2Own 提交的替代品。演示后立即向 Synology 披露了该问题,并在 48 小时内提供了解决该漏洞的补丁。”
Synology 表示,它解决了以下软件版本中的漏洞;但是,它们不会自动应用于易受攻击的系统,建议客户尽快更新以阻止潜在的传入攻击:
·BeePhotos for BeeStation OS 1.1:升级到1.1.0-10053或更高版本。
·BeePhotos for BeeStation OS 1.0:升级到1.0.2-10026或更高版本。
·Synology Photos 1.7 for DSM 7.2:升级到 1.7.0-0795 或更高版本。
·Synology Photos 1.6 for DSM 7.2:升级到 1.6.2-0720 或更高版本。
另一家 NAS 设备制造商 QNAP 在一周内修复了在黑客竞赛中被利用的两个更关键的零日漏洞(在该公司的 SMB 服务和混合备份同步灾难恢复和数据备份解决方案中)。
虽然 Synology 和 QNAP 匆忙推出安全更新,但供应商有 90 天的时间可以更新。
NAS 设备通常被家庭和企业客户用来存储敏感数据,并且它们也经常暴露在互联网上以进行远程访问。然而,这使得它们成为网络犯罪分子的目标,他们利用弱密码或漏洞来破坏系统、窃取数据、加密文件,并通过索要赎金来勒索所有者以提供对丢失文件的访问权限。
Midnight Blue 安全研究人员在 Pwn2Own Ireland 2024 期间演示了 Synology 零日漏洞,他们在美国和欧洲的警察部门网络上发现了暴露于互联网的 Synology NAS 设备,以及来自韩国、意大利和加拿大的关键基础设施承包商。
QNAP 和 Synology 多年来一直提醒客户,在线暴露的设备正在成为勒索软件攻击的目标。例如,eCh0raix 勒索软件(也称为 QNAPCrypt)于 2016 年 6 月首次出现,一直定期针对此类系统,其中 2019 年 6 月(针对 QNAP 和 Synology 设备)和 2020 年 6 月报告的两起大规模勒索软件尤为突出。
在最近的攻击浪潮中,威胁者还使用其他恶意软件菌株,包括 DeadBolt 和 Checkmate 勒索软件,以及各种安全漏洞来加密暴露于互联网的 NAS 设备。
Best DNS Management Tools play a crucial role in efficiently managing domain names and their associated DNS records. These tools enable users to make necessary changes and updates to DNS records, ensuring seamless website performance and accessibility. These tools are crucial to the smooth operation of the Internet, including web traffic, email delivery, and web […]
The post 10 Best DNS Management Tools – 2025 appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.
The post 10 Best DNS Management Tools – 2025 appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.
2024年11月9日至10日,由中国电子数据取证大赛组委会组织、教育部相关教学指导委员会指导,教育部网络安全与执法专业虚拟教研室主办,国投智能(厦门)信息股份有限公司承办,香港警务处、香港大学协办的“美亚杯”第十届中国电子数据取证大赛暨数智安全新技术研讨会在厦门举行。来自中国人民公安大学、中国人民警察大学、中国政法大学、中国刑事警察学院、武汉大学等高校,各地公安、检察、市监、税务等政府单位,各研究所、专业机构、企业的近3000名取证精英,近1000支参赛队伍同台竞技。其中,包括赣南科技学院、深圳信息职业技术学院等近30所综合类院校首次参与角逐。
大赛组委会名誉主任、教育部高等学校网络空间安全专业教学指导委员会秘书长封化民,大赛组委会副主任委员、全国刑事技术标准化技术委员会副主任委员周颂东,香港警务处网络安全及科技罪案调查科警司朱铭麟,大赛组委会副主任委员、中国刑事警察学院公安信息技术与情报学院副院长汤艳君,国投智能党委书记申强分别代表大赛指导单位、组委会、出题方、主办单位、承办单位致辞,厦门市公安局网安支队支队长、一级高级警长陈华山作为特邀嘉宾致辞。
大赛组委会主任兼秘书长、中国刑事警察学院首席教授、本届大赛的总主考官秦玉海讲解赛制并宣布开赛。中国刑事警察学院陈永乐代表参赛选手宣誓。
秦玉海宣布开赛
参赛选手宣誓
经过激烈角逐,本次大赛共决出线上线下个人赛、学生组和职业组团体赛一、二、三等奖,并评选出优秀指导教师奖和优秀组织奖。值此“美亚杯”10周年之际,大赛还特别授予线下个人赛前10名选手“取证精英”称号,授予第11-35名选手“取证能手”称号,还特别设置十周年特殊贡献奖,并新增线下团体赛优秀奖。
线下个人赛前十名获奖名单
完整获奖名单详见官网:meiyacup.com(注:最终解释权归大赛组委会所有)
值得一提的是,人工智能技术的运用在今年的赛事中也成为一大亮点,国投智能在赛前推出“美亚杯”Qiko智能体,可以实现为选手答疑解惑,也方便选手查询往届题库,启发答题思路。国投智能全资子公司美亚柏科正在着力于All in AI,已组建并训练机器人队伍,尝试深入与理解出题思路、分析命题逻辑,为赛事提供策略性见解,挖掘人工智能领域的无限潜能。
大赛同期举办数智安全新技术研讨会,大赛组委会副主任委员、北京警察学院副院长佟晖代表组委会对各位参会嘉宾表示欢迎。本次研讨会聚焦人工智能技术,业内专家、学者以及企业代表齐聚一堂,围绕行业发展新方向、创新人才培养、高效课程建设等议题, 共同交流新观点、探讨新思想、切磋新技术。与会专家表示,将充分应用人工智能技术,助力教育教学创新,持续探索新型警务人才培养模式,挖掘人工智能在警务工作中的深度应用,服务提升新质公安战斗力,努力谱写新时代华章。
为进一步给行业发展注入崭新活力,培育更多出类拔萃的专业人才,本次研讨会还特别举行了校企合作签约仪式。国投智能全资子公司美亚柏科与中国刑事警察学院、湖北警官学院、福建警察学院、重庆邮电大学、赣南科技学院、重庆电子科技职业大学、台州科技职业学院共同签署承载美好期待与愿景的合作协议。
签约仪式
大赛组委会名誉主任、中国安防协会理事长顾建国,大赛组委会名誉主任、原中国科学院高能物理研究所研究员许榕生,大赛组委会名誉主任、香港大学计算机科学系教授邹锦沛,大赛组委会副主任委员,公安部鉴定中心原副巡视员、研究员张国臣,大赛组委会副主任委员、天阳证据科学研究所原所长毛阳,大赛组委会副主任委员王有杰,国投智能总经理、党委副书记周成祖,党委副书记陈冰,副总经理栾江霞等领导,百余名专家及指导老师出席本次活动。
与会专家及指导教师合影
截至目前,“美亚杯”已成功举办十届,凭借其专业性、权威性与实践性,吸引了众多优秀选手踊跃参与,累计参赛人数超过万人。“美亚杯” 走过的十年,承载着满满的回忆,凝聚着无数参赛者的汗水,铭刻着他们的梦想与荣耀时刻,同时也激发着我们对未来的无限憧憬与殷切期待。
十年播种,十年收获。我们坚信我国的电子数据取证技术能够不断取得新进步,进而走向世界。让我们携手共进,期待 “美亚杯” 在行业发展中绽放更璀璨光芒,为我国网络安全事业作出更大贡献。
*本活动的最终解释权归美亚杯组委会所有