浙江
近日TOB知名技术社区qidao123.com用户向我们反馈,国内知名安全厂商VPN产品被强制下架,且此该厂商VPN安全产品为公司拳头产品,在国内同类产品占有率遥遥领先.
随后qidao123.com运维社群及其他安全社区安全专家爆出是该安全厂商VPN产品存在0day安全漏洞:影响和细节如下
相关安全专家还指出,该著名安全厂商VPN产品每年都会爆出不同相关0day安全漏洞。
该漏洞爆出后,该知名厂商也有官方回复
科普:什么是0day
0day漏洞,又称“零日漏洞”(zero-day),是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。
0day拥有多大威力
早在2011年,一款名为“Duqu”的木马被发现,而它的目标是从各工业设施的系统厂商处获取设计文件等数据信息,用于以后对各行业工业控制系统实施攻击。
在一起攻击中,攻击者正是定向发送了带有微软Word附件的邮件,该Word附件含有当时还未公布的零日核心漏洞。Duqu的出现,预示着网络攻击技术开启了新时代,攻击者将有足够的能力成功实施工业间谍活动。
2016年8月,苹果IOS系统出现了历史上最大的漏洞,因为质量极高且由三个0day漏洞组成,所以命名“三叉戟”。
用户只需要轻轻点击黑客发来的链接,手机就会被远程越狱。黑客瞬间就能获得手机的最高权限。众所周知,苹果手机越狱往往需要几个漏洞层层配合才能实现。但是利用一个链接,就可以彻底远程控制你的 iPhone,在这个0day出来之前这种级别的 iOS 漏洞,一直是个江湖传说。
0day的黑市价格
强如微软、苹果这样的公司,在面对0day漏洞的攻击时候,也只能采取事后补救,对系统升级等方法。不是他们不想去收集漏洞,而是那些发现0day的人更愿意将0day卖给黑产而不是提交给这些公司,而原因只有一个——漏洞提交的奖励远不及卖给黑产的收益。
在网上某组织甚至直接给出零日漏洞完整价格清单。
从图中可以看出,针对如今三个主流PC端操作系统的0day价格为3万美金,移动端操作系统的价格更高达10万美金,苹果IOS系统甚至达到50万美金。然而这还不是全部,据笔者了解到,境外军方等机密行业一旦涉及0day收购,交易价值会飙至百万美元以上。
这张图上的第一个漏洞价值可是一百五十万美啊...
我们运维社群的用户也有些更新了补丁包
此外杭州市某知名厂商的堡垒机产品也爆被击穿,暴露巨大安全漏洞
其他一些厂商也陆续暴露出安全隐患
关注不要走丢
希望用到相关VPN产品的公司和个人尽快排查,抓紧打补丁
后续我们将关注此次事件的发展,也欢迎加入我们的技术社群一起讨论提高
以上提到的知名安全公司究竟都是谁呢?
欢迎关注并留言告诉我们
企业服务IT圈:聚焦全球ToB领域:甲方. 厂商. 集成商. 服务商. 渠道. ISV等生态,分享业内干货,打造中国第一企业服务技术内容社区和社交平台。
我们根据粉丝真实岗位情况,分别设置:创业高管微信群/运维技术专家群/架构师之家/DevOps技术专家汇/ToB企业销售互助会/ToB厂商市场人俱乐部,并为大家提供技术咨询,营销策划.招聘及工作推荐等服务。请大家扫码或者添加微信:tian1tiant,(备注个人真实职业身份信息邀请不同岗位微信群)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
