Aggregator

网络附加存储 (NAS) 设备制造商 Synology 已修复了 Pwn2Own 黑客竞赛中被利用的两个关键零日漏洞。 

Midnight Blue 安全研究员在该公司的 Synology Photos 和 BeePhotos for BeeStation 软件中发现了关键的零点击漏洞（一起追踪为 CVE-2024-10443，并称为 RISK:STATION）。

正如 Synology 在 Pwn2Own Ireland 2024 上演示这些漏洞劫持 Synology BeeStation BST150-4T 设备，两天后发布的安全公告中所解释的那样，这些安全漏洞使远程攻击者能够以 root 身份在在线暴露的易受攻击的 NAS 设备上获得远程代码执行。

Midnight Blue 表示：“该漏洞最初是在几个小时内被发现的，作为另一个 Pwn2Own 提交的替代品。演示后立即向 Synology 披露了该问题，并在 48 小时内提供了解决该漏洞的补丁。” 

Synology 表示，它解决了以下软件版本中的漏洞；但是，它们不会自动应用于易受攻击的系统，建议客户尽快更新以阻止潜在的传入攻击：

·BeePhotos for BeeStation OS 1.1：升级到1.1.0-10053或更高版本。

·BeePhotos for BeeStation OS 1.0：升级到1.0.2-10026或更高版本。

·Synology Photos 1.7 for DSM 7.2：升级到 1.7.0-0795 或更高版本。

·Synology Photos 1.6 for DSM 7.2：升级到 1.6.2-0720 或更高版本。

另一家 NAS 设备制造商 QNAP 在一周内修复了在黑客竞赛中被利用的两个更关键的零日漏洞（在该公司的 SMB 服务和混合备份同步灾难恢复和数据备份解决方案中）。

虽然 Synology 和 QNAP 匆忙推出安全更新，但供应商有 90 天的时间可以更新。

NAS 设备通常被家庭和企业客户用来存储敏感数据，并且它们也经常暴露在互联网上以进行远程访问。然而，这使得它们成为网络犯罪分子的目标，他们利用弱密码或漏洞来破坏系统、窃取数据、加密文件，并通过索要赎金来勒索所有者以提供对丢失文件的访问权限。

Midnight Blue 安全研究人员在 Pwn2Own Ireland 2024 期间演示了 Synology 零日漏洞，他们在美国和欧洲的警察部门网络上发现了暴露于互联网的 Synology NAS 设备，以及来自韩国、意大利和加拿大的关键基础设施承包商。

QNAP 和 Synology 多年来一直提醒客户，在线暴露的设备正在成为勒索软件攻击的目标。例如，eCh0raix 勒索软件（也称为 QNAPCrypt）于 2016 年 6 月首次出现，一直定期针对此类系统，其中 2019 年 6 月（针对 QNAP 和 Synology 设备）和 2020 年 6 月报告的两起大规模勒索软件尤为突出。

在最近的攻击浪潮中，威胁者还使用其他恶意软件菌株，包括 DeadBolt 和 Checkmate 勒索软件，以及各种安全漏洞来加密暴露于互联网的 NAS 设备。

Best DNS Management Tools play a crucial role in efficiently managing domain names and their associated DNS records. These tools enable users to make necessary changes and updates to DNS records, ensuring seamless website performance and accessibility. These tools are crucial to the smooth operation of the Internet, including web traffic, email delivery, and web […]

The post 10 Best DNS Management Tools – 2025 appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

The post 10 Best DNS Management Tools – 2025 appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

2024年11月9日至10日，由中国电子数据取证大赛组委会组织、教育部相关教学指导委员会指导，教育部网络安全与执法专业虚拟教研室主办，国投智能（厦门）信息股份有限公司承办，香港警务处、香港大学协办的“美亚杯”第十届中国电子数据取证大赛暨数智安全新技术研讨会在厦门举行。来自中国人民公安大学、中国人民警察大学、中国政法大学、中国刑事警察学院、武汉大学等高校，各地公安、检察、市监、税务等政府单位，各研究所、专业机构、企业的近3000名取证精英，近1000支参赛队伍同台竞技。其中，包括赣南科技学院、深圳信息职业技术学院等近30所综合类院校首次参与角逐。

大赛组委会名誉主任、教育部高等学校网络空间安全专业教学指导委员会秘书长封化民，大赛组委会副主任委员、全国刑事技术标准化技术委员会副主任委员周颂东，香港警务处网络安全及科技罪案调查科警司朱铭麟，大赛组委会副主任委员、中国刑事警察学院公安信息技术与情报学院副院长汤艳君，国投智能党委书记申强分别代表大赛指导单位、组委会、出题方、主办单位、承办单位致辞，厦门市公安局网安支队支队长、一级高级警长陈华山作为特邀嘉宾致辞。

大赛组委会主任兼秘书长、中国刑事警察学院首席教授、本届大赛的总主考官秦玉海讲解赛制并宣布开赛。中国刑事警察学院陈永乐代表参赛选手宣誓。

秦玉海宣布开赛

参赛选手宣誓

经过激烈角逐，本次大赛共决出线上线下个人赛、学生组和职业组团体赛一、二、三等奖，并评选出优秀指导教师奖和优秀组织奖。值此“美亚杯”10周年之际，大赛还特别授予线下个人赛前10名选手“取证精英”称号，授予第11-35名选手“取证能手”称号，还特别设置十周年特殊贡献奖，并新增线下团体赛优秀奖。

线下个人赛前十名获奖名单

完整获奖名单详见官网：meiyacup.com（注：最终解释权归大赛组委会所有）

值得一提的是，人工智能技术的运用在今年的赛事中也成为一大亮点，国投智能在赛前推出“美亚杯”Qiko智能体，可以实现为选手答疑解惑，也方便选手查询往届题库，启发答题思路。国投智能全资子公司美亚柏科正在着力于All in AI，已组建并训练机器人队伍，尝试深入与理解出题思路、分析命题逻辑，为赛事提供策略性见解，挖掘人工智能领域的无限潜能。

大赛同期举办数智安全新技术研讨会，大赛组委会副主任委员、北京警察学院副院长佟晖代表组委会对各位参会嘉宾表示欢迎。本次研讨会聚焦人工智能技术，业内专家、学者以及企业代表齐聚一堂，围绕行业发展新方向、创新人才培养、高效课程建设等议题， 共同交流新观点、探讨新思想、切磋新技术。与会专家表示，将充分应用人工智能技术，助力教育教学创新，持续探索新型警务人才培养模式，挖掘人工智能在警务工作中的深度应用，服务提升新质公安战斗力，努力谱写新时代华章。

为进一步给行业发展注入崭新活力，培育更多出类拔萃的专业人才，本次研讨会还特别举行了校企合作签约仪式。国投智能全资子公司美亚柏科与中国刑事警察学院、湖北警官学院、福建警察学院、重庆邮电大学、赣南科技学院、重庆电子科技职业大学、台州科技职业学院共同签署承载美好期待与愿景的合作协议。

签约仪式

大赛组委会名誉主任、中国安防协会理事长顾建国，大赛组委会名誉主任、原中国科学院高能物理研究所研究员许榕生，大赛组委会名誉主任、香港大学计算机科学系教授邹锦沛，大赛组委会副主任委员，公安部鉴定中心原副巡视员、研究员张国臣，大赛组委会副主任委员、天阳证据科学研究所原所长毛阳，大赛组委会副主任委员王有杰，国投智能总经理、党委副书记周成祖，党委副书记陈冰，副总经理栾江霞等领导，百余名专家及指导老师出席本次活动。

与会专家及指导教师合影

截至目前，“美亚杯”已成功举办十届，凭借其专业性、权威性与实践性，吸引了众多优秀选手踊跃参与，累计参赛人数超过万人。“美亚杯” 走过的十年，承载着满满的回忆，凝聚着无数参赛者的汗水，铭刻着他们的梦想与荣耀时刻，同时也激发着我们对未来的无限憧憬与殷切期待。

十年播种，十年收获。我们坚信我国的电子数据取证技术能够不断取得新进步，进而走向世界。让我们携手共进，期待 “美亚杯” 在行业发展中绽放更璀璨光芒，为我国网络安全事业作出更大贡献。

*本活动的最终解释权归美亚杯组委会所有

在全球战略的推动下，盛邦安全正在积极拓展国际合作，近期与中东地区相关机构积极对话，凭借其在AI与网络安全领域的先进技术，赢得了中东资本的高度关注。10月31日，盛邦安全高级副总裁方伟先生与阿拉伯联合酋长国驻中国大使馆官员就网络安全领域的创新技术与经验进行了深入交流，并受邀参与中埃科技交流对接会。

左一：阿卜杜拉·尚穆希  阿拉伯联合酋长国驻中国大使馆政治部门主管  右一：方伟 盛邦安全高级副总裁

无独有偶，在近日刚刚结束的全球GITEX GLOBAL 2024科技盛会上，盛邦安全展示了在AI赋能下的网络安全防御体系，通过技术演示与案例分享，在国际科技舞台展现了在复杂网络环境中为企业提供定制化安全解决方案的能力，凭借深厚的技术积累和创新产品不仅赢得了业界的广泛赞誉，更吸引了中东地区政府、自贸区及投资机构高层的关注。

GITEX GLOBAL 会后，方伟先生先后与阿布扎比资本集团、卡塔尔投资促进局等机构高层展开深度对话，探讨与中东高净值客户及潜在合作伙伴的合作契机。近年来，中东资本对中国科技企业的投资热情持续高涨。随着数字经济的快速发展和全球化进程的加速，中东地区的网络安全需求激增。盛邦安全在AI赋能网络安全和数据保护方面的探索与解决方案，精准对接了这一需求。作为一家具备硬核科技的网络安全公司，盛邦安全成功吸引了中东资本的关注，并成为参会企业中为数不多的与他们深入沟通的企业之一。

右一：Anas Qawasmeh  DIFC金融和科技发展部总监

右一：Jordan Bray VP  PLUGANDPLAY阿布扎比办公室

左二：Lyes Bahri VP-PE  ADCG阿布扎比资本集团

 Invest Qatar  卡塔尔投资促进局高层领导

盛邦安全将国际化视为公司发展的核心战略之一，近期的一系列国际交流活动标志着其全球化战略取得了重要突破。公司不仅在中东市场迈出了重要步伐，其科技实力也获得了国际市场的认可。

原文链接

近日，全国网络安全标准化技术委员会发布2024年44项网络安全国家标准项目立项清单。由远江盛邦（北京）网络安全科技股份有限公司牵头，中国网络安全审查认证和市场监管大数据中心、公安部第一研究所、清华大学等近50家企业单位联合申请的国家标准《网络安全技术 网络空间测绘数据交换格式》成功入选立项清单。

网络空间测绘作为全面了解网络空间结构和资源分布的关键技术，正深入应用于各类网络活动中，对于保障国家网络安全、促进数字经济发展具有重要意义。然而，由于缺乏统一的数据标准格式，不同机构和企业在进行网络空间测绘时所采用的数据格式各异，导致数据的共享、整合和分析困难重重，严重制约了网络空间测绘技术在各领域的广泛应用和产业的健康发展。制定网络空间测绘数据标准格式迫在眉睫。

尤其是在当前网络安全形势日益严峻的背景下，盛邦安全牵头研制《网络安全技术 网络空间测绘数据交换格式》国家标准，旨在统一网络空间资产测绘过程中的资产分类和数据格式，规范数据交换方式，从而显著提升网络空间安全管理的效率与效果。

从可观测性的角度出发，该标准对资产测绘中的资产分类和数据交换格式进行了标准化规范，实现了不同资产测绘源数据的统一。这不仅解决了因数据格式差异而引发的兼容性问题，更为资产测绘数据的共享、网络空间挂图作战以及网络安全图谱的构建提供了坚实的数据支持。

近年来，国家高度重视网络安全与信息化发展，出台了一系列相关法律法规和政策规划，不断加强网络空间治理和数据安全保护。制定网络空间测绘数据格式标准，不仅是落实国家政策的重要举措，更是规范网络空间测绘行为、提升数据质量与安全性的关键路径，为网络空间的有序发展提供有力支撑。

盛邦安全凭借十余年在网络安全领域的深耕细作，不仅提供高质量的网络安全产品和服务，更在网络安全国家标准的制定工作中发挥了重要作用。未来，我们将继续积极参与国家网络安全标准化体系建设，致力于推动构建一个更加安全、开放、繁荣的网络空间，为各行业用户的数字化转型和网络强国战略落地贡献自己的力量。

原文链接