趨勢科技ZDI發佈1,000多次揭露漏洞公告
網絡保安方案廠商趨勢科技在2023年Black Hat USA黑客大會上表示,其 Zero Day Initiative(ZDI)漏洞懸賞計劃在2023年發佈了1,000 多次非重複漏洞公告。這些漏洞一旦變成黑客的攻擊武器,將對世界帶來遠比預防成本高出10倍以上的時間與財務損失。
最新揭露Microsoft重大零時差漏洞
趨勢科技營運長Kevin Simzer表示:「我們每年投資數百萬美元來主動研究漏洞並收購漏洞情報,讓我們的客戶及整體產業節省數十億美元的復原成本。但目前一項令人憂心的趨勢是,廠商對於漏洞的揭露與修補資訊透明度不足,對數碼世界的安全造成威脅。」
趨勢科技呼籲業界放棄暗中修補漏洞的做法,因為這樣會拖慢或淡化漏洞及修補更新的公開揭露和記載。這是打擊網絡犯罪的一大障礙,但卻是主流廠商及雲服務商常見的做法。
Trend Research人員指出,暗中修補的情況在雲服務商尤為常見。這些企業經常會避免將漏洞登錄到CVE公開資料庫,然後私下釋出修補更新。
雲服務商這種不透明或不公開版本編號的做法,將阻礙風險評估,使整體社群無法獲得寶貴資訊來提升生態系的整體安全。
此外,在去年的Black Hat大會上,趨勢科技也曾提出警告,指出不完全或有缺陷的修補更新似乎越來越多,而且廠商似乎不願清晰發表有關修補更新的權威資訊。到今日這情況更加惡化,有些廠商甚至完全貶低修補更新的重要性,令客戶和業界暴露在不必要且日益提升的風險中。
業界迫切需要採取行動來將修補更新列為優先要務,同時解決漏洞並促進研究人員、資訊保安廠商及雲端服務供應商之間的合作以強化雲端服務、防止用戶遭遇潛在風險。
趨勢科技非常重視漏洞修補的透明度,並透過其ZDI漏洞懸賞計劃致力提升整體產業的資訊保安狀態。在堅持透明揭露下,趨勢科技ZDI近日發布了多項零時差漏洞公告,包括:
ZDI-CAN-20784 Github(CVSS 9.9)
- 此漏洞可能讓遠端黑客在受影響的Microsoft GitHub部署環境中提升自己的權限。攻擊這項漏洞時必須先通過認證。
- 這項漏洞存在於開發容器的配置中,應用程式並未強制落實Dev Containers配置的權限指標。黑客可利用這漏洞來提升權限,然後在虛擬化監管程式(Hypervisor)層面執行程式。
ZDI-CAN-20771 Microsoft Azure(CVSS 4.4)
- 此漏洞可能讓遠端黑客洩露有關Microsoft Azure的敏感資訊。黑客必須有能力在目標環境執行高權限程式碼才可攻擊這漏洞。
- 這漏洞存在於憑證的處理程序中,問題根源是資源暴露在不正確的控制體系內(control sphere),黑客可利用此漏洞來取得系統上儲存的登入憑證,隨後入侵系統。