CISA发布2019财年风险漏洞评估的信息图；QNAP修复Helpdesk中的漏洞，可导致NAS设备接管

网络安全和信息安全机构(CISA)发布了2019财年进行的44项风险和漏洞评估（RVA），以及MITER对抗策略、技术和常识（ATT＆CK）框架的分析信息图。该信息图表确定了CISA在跨多个部门的RVAs期间观察到的常规成功攻击路径，网络攻击者可以利用这些攻击途径来攻击组织。CISA鼓励网络管理员和IT专业人员查看信息图并应用推荐的防御策略，以防止受到已知战术和技术的攻击。

安全公司Arctic Wolf发布了一份安全运营年度报告。报告显示，自3月以来，暗网上公开的公司凭据数量增加了429％。在观察到的高风险安全事件中，有35％发生在8:00 PM和8:00 AM之间，而14％发生在周末，这是许多内部安全团队不在线的时间。此外，网络钓鱼和勒索软件攻击次数增加了64％，黑客更多的以COVID-19主题为诱饵，来针对远程工作者。

Google发布的Chrome安全更新针对Windows、Mac和Linux版本修复了35个漏洞。其中较为严重的漏洞为支付中的释放后使用漏洞（CVE-2020-15967），其次为Blink、WebRTC、NFC、打印、音频、自动填充和密码管理器中的释放后使用漏洞（CVE-2020-15968、CVE-2020-15969、CVE-2020-15970、CVE-2020-15971、CVE-2020-15972、CVE-2020-15990和CVE-2020-15991）。

QNAP修复了Helpdesk应用中的两个较为严重的漏洞，这些漏洞可被攻击者利用接管QNAP网络连接存储（NAS）设备。此次修复两个漏洞均为不适当的访问控制漏洞，被跟踪为CVE-2020-2506和CVE-2020-2507，攻击者成功利用后可获得对QNAP设备的控制。QNAP表示，其已修复了Helpdesk 3.0.3及更高版本的漏洞，考虑到漏洞的严重程度，用户应该尽快将该应用程序升级到最新版本。

Guardicore的研究人员对Comcast的XR11 Xfinity Voice Remote进行了分析，发现了一种无需物理访问或用户交互即可将其转变为监听设备的方法，被称为WarezThe Remote攻击。研究人员表示，负责加密通信的RF4CE（消费电子射频）协议的实施存在漏洞。其通过对遥控器的固件进行逆向工程找到了语音录制按钮的代码，在修改代码后会每分钟发起一次录音请求，并会在同意后录制10分钟。

信息安全那些事儿~

长按二维码关注