安全焦点

全球上万个VoIP设备可被公开访问，思科、松下等制造商产品包含通用漏洞披露（CVE）

研究发现全球38335台VOIP / SIP设备是直接面向公众可直接访问的，其中Aastra-Mitel在制造商列表中排名第一，美国在国家/地区中排名第一，伦敦在城市中排名第一。

所有Wi-Fi设备皆存在FragAttacks漏洞 个人信息可能因此遭窃

知名网络安全研究人员Mathy Vanhoef发表一系列Wi-Fi设备安全漏洞，这些漏洞被统称为FragAttacks，是碎片（Fragmentation）以及聚合攻击（Aggregation Attacks）的组合字，全球Wi-Fi设备无一幸免，连最新的WPA3规范都存在设计缺陷。位在受害者无线电范围内的攻击者，可以利用FragAttacks漏洞窃取用户信息并且攻击设备。

拜登签署行政命令，增强美国网络安全防御能力

近期，美国总统拜登签署了一项行政命令，旨在提高该国抵御网络攻击的防御能力，并让他们更及时地获得执法部门进行调查所必需的信息。

新型Smishing钓鱼木马曝光：冒充Chrome窃取用户信用卡信息

网络安全公司 Pradeo 近日发现了一个先进的移动攻击活动，该活动利用网络钓鱼技术窃取受害者的信用卡信息，并使他们感染了一个冒充 Android 端 Chrome 浏览器应用程序的恶意软件。该恶意软件再利用受害者的设备作为载体，发送成千上万条钓鱼短信。Pradeo 的研究人员将其定性为 Smishing 木马。

Adobe修复了在野外被利用的Reader 0day漏洞

近期，Adobe发布补丁程序更新程序，修复了十二种不同应用程序中的漏洞，其中包括一个被积极利用的Adobe Reader漏洞。

安全风险

潜伏12年之久的戴尔驱动程序级别的漏洞，终于被修复

在过去的12年中，戴尔的台式机、笔记本、平板电脑等设备的驱动程序中一直存在严重漏洞，会导致系统权限增加。5月4日，戴尔发布安全公告，称修补了一个存在长达12年的驱动程序漏洞。该漏洞预估影响上亿台戴尔设备。从台式机到最新的Alienware和笔记本电脑，大约380种型号的设备受到了影响。

该漏洞由安全企业Sentinel Labs披露，该漏洞实际上是五个连续漏洞，皆位于戴尔驱动程序DBUtil（dbutil_2_3.sys）之中。戴尔将这五个漏洞统一追踪为编号CVE-2021-21551，归属于访问管控不足漏洞。这五个漏洞可使攻击者获得本机权限以执行恶意程序代码。具体来看，五个漏洞中四个是提权漏洞，一个是可引发拒绝服务（Denial of Service，DoS）攻击漏洞。

目前尚无该漏洞被利用的消息。但研究人员Kasif Dekel表示，该漏洞“很容易被利用”，攻击者可能利用钓鱼攻击或结合其他手法扩大伤害，在网络上横向移动。由于需要本机权限，该漏洞风险层级被列为8.8。该研究人员在一篇博客文章中提供了技术信息，但未披露PoC，方便用户有时间安装补丁。他计划在6月分享PoC的漏洞代码。

根据戴尔的常见问题解答，攻击者需要对计算机进行本地访问才能攻击或通过网络钓鱼等其他方式欺骗用户。此外，只有在用户更新固件后，它才会影响PC，因为相关的驱动程序未预装在PC上。

CVE-2021-21551的冲击在于它从2009年就已存在DBUtil中，它可能传播问题驱动程序，并将之安装在戴尔用户设备上。受漏洞影响的软件包括BIOS更新、Thunderbolt固件、TPM固件更新、dock固件更新等。戴尔呼吁用户尽快安装更新版固件，但也说明该漏洞只影响Windows设备，Linux平台不受影响。

企业安全

该不该支付勒索赎金？

在去年的RSA2020信息安全大会上，FBI发布了一个有趣的统计数据，他们声称勒索软件受害者在过去6年中已向攻击者支付了超过1.4亿美元。该机构通过分析比特币钱包和赎金来得出这个数字。

FBI特工乔尔·德卡普阿（Joel DeCapua）在两场会议上介绍了他的发现，解释了他如何分析比特币钱包以得出数字。根据DeCapua的说法，在2013年10月至2019年11月之间，受害者已向勒索软件攻击者支付了约144350000美元的比特币。最赚钱的勒索软件是Ryuk，带来了6126万美元的“获利”。紧随其后的是Ryuk，其次是Crysis / Dharma，其收入为2448万美元，而Bitpaymer为804万美元。

FBI指出，赎金数额可能更高，因为他们没有办法获取到完整的数据。大多数公司试图隐藏这些细节，以防止负面新闻报道并损害其股价。 最后，FBI强调了识别网络钓鱼网站并确保其具有数据备份的重要性，以防止成为勒索软件攻击的受害者。

如此巨大的勒索赎金支付，足以支撑这些顶级的勒索软件的技术团队不断发展壮大，那么该不该支付勒索软件的赎金呢？业内意见不一。

2020年，美国财政部外国资产控制办公室（OFAC）警告，支付勒索软件的组织有可能违反政府对网络犯罪集团或国家支持的黑客实施的经济制裁。这一警告与联邦调查局2019年的一份公告相呼应，称其 "不主张支付赎金，部分原因是它不能保证一个组织将重新获得其数据。"

然而，非营利调查新闻组织ProPublica的报告发现，网络保险公司经常建议其客户支付赎金。它发现，企业认为支付赎金的成本低于其他选择：即失去业务连续性、重建系统和从备份中恢复端点。

在安全媒体Threatpost对120名受访者的调查中，大家一致认为支付赎金是一个坏主意。整整78%的人认为，出于各种原因，不要屈服于勒索要求。42%的人提到的首要原因是网络犯罪分子不值得信任，支付赎金并不能保证获得解密密钥。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包聊聊“防火墙双机热备

• 分享到：