HackerNews 编译，转载请注明出处： Tenable公司紧急禁用了两个版本的Nessus扫描器代理，原因是插件更新故障导致代理离线。 Nessus是Tenable公司推出的一款广受欢迎的漏洞扫描工具，旨在识别和评估系统、网络和应用程序中的安全漏洞。 Tenable公司被迫禁用两个版本的Nessus扫描器代理，原因是插件更新故障导致这些代理离线。 “我们已知悉并正在积极调查一个问题，即所有站点的某些用户在插件更新后遇到代理离线的情况。”Tenable公司在2024年最后一天发布的更新中写道，“插件更新已暂时暂停。” 该公司并未分享问题的技术细节。 “已知一个问题会导致Tenable Nessus Agent 10.8.0和10.8.1版本在触发差异插件更新时离线。为防止此类问题，Tenable已禁用这两个代理版本的插件源更新。此外，Tenable还禁用了10.8.0和10.8.1版本，以防止进一步出现问题。”公司报告称。 几天后，供应商宣布正在解决影响Nessus Agent 10.8.0/10.8.1版本的问题： Nessus Agent for Tenable Vulnerability Management（TVM）、TSC和Nessus从10.8.0/10.8.1版本降级到10.7版本 除以下情况外，所有插件源更新均已禁用： TVM Nessus Agent版本低于10.8 TVM链接的Nessus扫描器（所有版本） Tenable发布了Nessus Agent v10.8.2版本，以解决被禁用的v10.8.0和10.8.1版本中的问题。 “为解决上述问题，所有运行Tenable Nessus Agent 10.8.0或10.8.1版本的Tenable Vulnerability Management和Tenable Security Center客户必须升级到代理版本10.8.2或降级到10.7.3版本。”咨询建议继续道，“如果您正在使用代理配置文件进行代理升级或降级，则必须执行单独的插件重置以恢复任何离线代理。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最近一项对取证工具 Cellebrite 软件的披露展示，所有的智能手机设备都可以被破解。总部位于新加坡的网络安全公司 Group-IB 警告称，不论是使用 Apple iOS 还是 Google Android 操作系统的智能手机用户都面临着风险。 Cellebrite Premium 是一种执法机构用于从锁定智能手机中提取数据的工具，自 2024 年 2 月以来一直受到关注。美国联邦调查局曾利用该工具，在 40 分钟内破解了唐纳德·特朗普枪击事件嫌疑人的手机。 本周，国际特赦组织报告揭示了塞尔维亚当局如何利用这一由以色列公司开发的产品，非法侵入记者和社会运动人士的设备。 Group-IB 提出了关于透明度和用户安全的紧迫问题：“最近的研究发现，智能手机制造商往往会淡化或掩盖安全漏洞，这让个人和企业暴露于数据泄露、身份盗窃和企业间谍等风险之下。”该公司在报告中表示，几乎所有现代智能手机在第一次解锁后都面临着被数据提取的威胁。 “虽然旧设备尤为易受攻击，但即便是最新的设备也远非免疫。遗憾的是，所有运行 Apple iOS 和 Google Android 的现代智能手机用户都面临风险。”Group-IB 的报告写道。 手机解锁与取证工具的功能 取证工具开发者自己列出了他们工具的功能。 Cellebrite 的更新日志详细说明了其新增加的功能，包括强力破解运行 iOS 12.5-17.2.1 的 iPhone，以及支持包括 Qualcomm 和 Exynos 型号在内的 Samsung Galaxy S24 系列。 此前泄露的支持矩阵甚至包括了新款智能手机，如 Pixel 8 系列和 iPhone 15 系列。厂商明确指出，最新款智能手机在第一次解锁后就存在漏洞。 苹果公司最近对此作出了回应，引入了一项新的 iOS 安全功能，即在设备 72 小时不活动后自动重启 iPhone。 另一个手机解锁和取证工具，GrayKey，声称能够部分访问所有运行 iOS 18 或更旧版本的 iPhone。然而，根据 Group-IB 的说法，该工具在最新的 iOS 更新中表现不佳。该工具列出了所有 Google Pixel 设备在第一次解锁后也存在漏洞。 “旧设备，如 iPhone X 及其之前的版本，非常脆弱，容易受到攻击，”Group-IB 的研究人员表示，“尽管采用了先进的加密技术，现代设备依然无法免疫，事实上，目前的设备依然存在漏洞，尤其是在第一次解锁后的 AFU 模式下。” 其他未授权方也越来越多地使用越狱和文件替换工具来利用被盗或丢失的智能手机。这些工具使攻击者能够访问系统文件并替换为篡改的数据。 另一种绕过激活锁的方法是未授权方使用伪造的响应，似乎来自苹果服务器，或者通过替换备份文件来绕过“查找我的 iPhone”和“激活锁”等功能。 “即使是最安全的智能手机，在被盗或丢失时也可能被破解。”研究人员警告道。许多攻击针对的是引导加载程序或 USB 端口的漏洞，这些漏洞通常出现在设备处于活动状态时。 Group-IB 共享了地下市场上各种苹果设备解锁的价格清单。 “这些绕过方法通常是临时的，通常只持续到固件重置或更新。但它们为攻击者提供了足够的时间，将被盗设备转售为功能完好的智能手机。”研究人员表示。 尽管智能手机容易受到威胁，研究人员还提出了另一个问题——如果数据完整性无法得到保证，这些设备作为证据是否可信？信息很容易被篡改或植入。 如何保护自己？ Cellebrite 和其他工具可能让智能手机用户面临风险，包括数据泄露、身份盗窃、证据篡改甚至企业间谍活动。 Group-IB 建议 iOS 用户启用锁定模式，因为这可以限制设备的可被攻击性，并尽可能频繁地升级智能手机硬件。Android 用户应使用安全型号，如 Google Pixel 8 及更新的智能手机，并启用 MTE功能。 “经验丰富的用户可以考虑自定义操作系统，将 AFU 模式转为 BFU，并记得锁定引导加载程序。”Group-IB 说道。 制造商应通过启用完全断开智能手机端口的模式（仅充电模式），来增强硬件安全性，这样可以保护端口硬件并中断数据传输。 Group-IB 还建议效仿苹果，引入将智能手机转为 BFU 模式的功能，即使是在更短时间的非活动后也能切换。“加强引导加载程序：识别并修复引导加载程序中的漏洞，并确保这些漏洞得到报告。一些旧智能手机可以通过暴力破解密码被攻破（因此建议设置最小密码长度）。”Group-IB 提到。   消息来源：cyber news, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一家知名日本加密货币平台遭遇黑客攻击，损失了价值数亿美元的加密货币，开业不到6个月便宣布关闭。 12月2日，DMM Bitcoin宣布，计划将所有客户账户及公司资产转移至另一家加密货币公司SBI VC Trade。后者是日本金融服务巨头思佰益（SBI）集团的子公司。 DMM Bitcoin表示，此决定源于今年5月31日的重大事件。当日，黑客侵入平台并盗取了4502.9枚比特币。事件发生时，这些比特币价值3.08亿美元（约合人民币22.39亿元），截至12月2日，其价值已增至超过4.29亿美元（约合人民币31.19元）。 DMM Bitcoin解释称，相关事件的调查仍在进行中，并透露平台已持续限制客户提取加密货币及提交购买订单。 公司表示：“我们认为，若长期维持现状，将严重影响客户的便利性。基于此情况，我们决定优先保护客户利益，将所有账户及资产转移至另一家公司。对此造成的长期不便，我们深表歉意。转移完成后，公司计划终止业务运营。” DMM Bitcoin成立于2018年1月。公司与SBI VC Trade已于近日（11月29日）签署协议，预计将在2025年3月之前完成所有账户及资产的转移。目前，双方仍在处理交易的具体细节，并将于未来发布进一步公告。SBI VC Trade也在声明中确认了这一交易。 调查显示交易所风险管理存在严重问题 5月底此次攻击发生后，DMM Bitcoin不得不通过贷款筹集巨额资金以弥补损失。6月，该公司获得了550亿日元（约合3.67亿美元）的贷款。 自9月以来，公司未就此事件提供进一步更新，也未公开完整说明事件细节，包括黑客身份及被盗资金的具体流向。 日本金融厅已介入调查，并在9月表示：“我们发现公司在系统风险管理及应对加密资产泄漏风险方面存在严重问题。” 调查显示，公司未指派专人负责风险管理，相关职责被集中在少数人员手中。此外，公司部门间进行了内部自我审计，但并未接受独立审计。 金融厅指出，DMM Bitcoin违反了多项有关加密货币公司处理资产转移的规定，且未保存有助于调查盗窃事件的日志记录。 金融厅表示：“公司未采取有效措施防止因欺诈行为等导致的加密资产外流，未能确保内部和外部的安全性。其在加密资产转移管理方面存在松散行为。此外，内部审计形同虚设，容忍这些管理漏洞，未能建立健全的风险防控体系。” 金融厅已向公司发出“业务改善命令”，但未明确是否会采取其他处罚措施。 分析认为攻击者为朝黑客组织Lazarus 区块链安全公司Elliptic的研究人员指出，被盗资金已迅速被分散，其中部分资金被转入至少10个不同的钱包中。 知名加密货币研究员ZachXBT于7月表示，这些资金中有部分通过一家有争议的柬埔寨支付平台Huione Guarantee进行洗钱。该平台与有组织犯罪及柬埔寨执政家族中的某成员存在关联。 ZachXBT根据资金转移方式及其他线索推测，此次攻击可能由臭名昭著的朝鲜黑客组织Lazarus Group发起。该组织以多起高调的网络攻击闻名，据称在过去10年内为朝鲜政府获取了超过30亿美元的资金。 根据区块链研究公司Chainalysis的报告，2024年上半年，网络犯罪分子通过加密货币盗窃获取了近16亿美元，高于2023年同期的8.57亿美元。 今年下半年也发生了多起重大盗窃事件。其中包括：印度加密货币平台WazirX被盗至少2.3亿美元，新加坡加密货币平台BingX被盗超过4400万美元；此外，印尼最大的加密货币平台于2024年9月被盗2000万美元，新加坡另一家加密货币平台Penpie报告称损失2700万美元。     转自安全内参，原文链接：https://www.secrss.com/articles/73079 封面来源于网络，如有侵权请联系删除

近日，研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。 网络安全公司 Trend Micro 的研究人员说，攻击者正试图在攻击中整合 EDRSilencer，以逃避检测。 被“静音”的EDR 产品 端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。 它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应，同时向防御者发送有关威胁来源、影响和传播的详细报告。 EDRSilencer 是受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具，可检测运行中的 EDR 进程，并使用 Windows 过滤平台（WFP）监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。 WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性。 通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止警报和详细遥测报告的发送。 在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括： 微软卫士 SentinelOne FortiEDR Palo Alto Networks Traps/Cortex XDR 思科安全端点（前 AMP） ElasticEDR Carbon Black EDR 趋势科技 Apex One 阻止硬编码可执行文件的传播，来源：趋势科技 趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。 不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具。 趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性。 研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的情况下成功攻击的可能性。 EDRSilencer 攻击链，来源：趋势科技 趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。 此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。     转自FreeBuf，原文链接：https://www.freebuf.com/news/412912.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，与朝鲜相关的恶意软件 FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。 研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。 美国相关机构于2018 年 10 月首次记录了 FASTCash，称至少自 2016 年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于 30 多个不同国家/地区的 ATM 机成功实施了攻击；2018年，同样的攻击又在 23 个不同国家的 ATM 机中上演。 虽然之前的 FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux 系统，相关样本于 2023 年 6 月中旬首次提交到了 VirusTotal 平台。 该恶意软件为Ubuntu Linux 20.04 编译的共享对象（“libMyFc.so”）形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从 12000 到 30000 里拉（350 美元到 875 美元）不等 。 攻击示意图 Linux 变体的发现进一步强调了对足够强大的检测能力的需求，而 Linux 服务器环境中通常缺乏这些功能，建议对借记卡实施芯片和 PIN 要求、要求并验证发卡机构金融请求响应信息中的信息验证码，并对芯片和 PIN 交易执行授权响应加密验证。 参考来源：New Linux Variant of FASTCash Malware Targets Payment Switches in ATM Heists     转自FreeBuf，原文链接：https://www.freebuf.com/news/412963.html 封面来源于网络，如有侵权请联系删除

美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。 官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。 Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。” 参考资料：https://statescoop.com/maryland-state-bug-bounty-program-2024/     转自安全内参，原文链接：https://www.secrss.com/articles/71270 封面来源于网络，如有侵权请联系删除

全球领先的商业通信公司Mitel发布了一份重要的安全公告，指出其MiCollab软件中存在一个严重的SQL注入漏洞，该漏洞特别影响音频、网络和视频会议（AWV）组件。该漏洞被命名为 CVE-2024-47223，CVSS 得分为 9.4，表明一旦被利用将可能造成重大损失。 该漏洞源于对用户输入的 sanitization 不足，允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。 Mitel 在其公告中警告说：“成功利用该漏洞需要特制的 URL，并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案，因此该风险尤为突出。” 如果攻击者成功利用了 CVE-2024-47223，他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而，潜在的危害还不止于此。Mitel 的公告称，攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表，从而可能导致 MiCollab 系统无法运行。 鉴于该漏洞的严重性，Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出：“Mitel 建议受影响产品版本的客户更新到最新版本”，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。 OSI Security公司的Patrick Webster发现并报告了这一漏洞，他的及时发现引起了Mitel的注意。 对于无法立即升级的客户，Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁，以降低风险。该补丁可通过 Mitel 的知识管理系统获取，并提供了帮助保护受影响系统的具体说明。     转自安全客，原文链接：https://www.anquanke.com/post/id/300846 封面来源于网络，如有侵权请联系删除

由于早前的黑客攻击并泄露了数亿人的数据，美国最大的背景调查公司之一——美国国家公共数据公司（National Public Data，NPD）近日出于多方诉讼压力申请破产。 图片来源：FreeBuf 据悉，NPD 母公司 Jerico Pictures 已于 10 月 2 日向佛罗里达州南区法院申请了破产，该公司在破产申明中表示，2023年12月有黑客入侵了系统，相关数据于今年4月首次出现在Breached黑客犯罪市场中，并点名一位叫USDoD的黑客窃取了这些数据，称其在入侵其他机构（包括 FBI、空客等）方面也取得了巨大成功。 今年6月，以 USDoD 为名的黑客试图以 350 万美元的价格出售被盗数据，声称其中包含 29 亿条美国公民记录。一个多月后，名为Fenice 的黑客在非法市场 BreachForums 上免费发布了一个包含 27 亿条记录的数据库。 这些泄露的数据包括姓名、社会安全号码、电话号码、地址和出生日期。包括数据泄露专家 Troy Hunt 在内的几位网络安全专家已经证实，虽然数据库包含重复项，但大部分信息都是准确的。Hunt 估计，该数据库包括大约 8.99 亿个唯一的 SSN，可能包括部分已经去世的人的信息。 事发后，NPD表示已与执法部门和政府调查人员合作调查该事件，但此后一直没有提供最新情况，该公司也没有向受害者提供身份盗窃保护服务。 NPD破产申明中称公司已无法产生足够的收入来解决广泛的潜在负债，以及承担诉讼辩护和支持调查的费用。该公司表示，他们业务的很大一部分是为医疗机构服务，但这些机构禁止“有背景问题”的企业提供服务。 该公司还承认正面临多起集体诉讼，这些诉讼是由那些认为自己的信息在网络攻击期间被泄露的公民提起。 此外，来自 20 多个州的总检察长要求 NPD 支付违规行为的民事罚款，美国联邦贸易委员会也在审查这一事件。 参考来源： National Public Data files for bankruptcy, citing fallout from cyberattack After breach of billions of records, National Public Data files for bankruptcy     转自FreeBuf，原文链接：https://www.freebuf.com/news/412671.html 封面来源于网络，如有侵权请联系删除

图片来源：Cybernews 据悉，远程招聘平台Snaphunt已经泄露了20多万份工作简历。此次泄露全方位暴露了求职者的个人数据，使其面临身份被盗等高危风险。 8月5日，Cybernews研究团队发现了一个配置错误的亚马逊AWS S3存储桶。储存桶中包含超过28万个数据文件，其中就有2018年至2023年的求职者简历。 简历泄露归因于新加坡的招聘平台Snaphunt总部，该平台在全球范围内运营，为亚洲、欧洲和中东在内的各个地区的客户和求职者提供服务。 该平台主要通过人工智能和数据驱动工具实现雇主与求职者的联系，根据候选人的技能、经验和偏好将他们与各个工作机会进行匹配。 泄露的简历中包含了大量私人信息，任何人都可以自由地查看访问，使求职者们面临着严重的信息安全威胁。 泄露的文件数量。来源：Cybernews 哪些数据被泄露了？ 姓名 电话号码 电子邮件地址 出生日期 国籍和出生地 社交媒体链接 就业经历和教育背景 互联网犯罪分子很可能会使用此类高度敏感的信息进行身份盗窃，其中个人信息很可能被用于创建虚假身份或欺诈性帐户。 简历中所涉及的广泛背景信息，很容易使求职者遭受复杂的鱼叉式网络钓鱼的攻击。犯罪分子可以利用泄漏的信息冒充合法组织或个人，使犯罪分子在未经授权的情况下，即可访问金融账户、凭证或其他敏感数据。 泄露的简历。来源：Cybernews 一位Cybernews研究员解释说：“社会工程攻击的可能性很高，因为攻击者可以冒充虚假招聘机构或者是利用泄露的数据渗透到专业网络，传播恶意软件亦或是提取进一步的机密信息。” Cybernews联系了该公司，强调对此后私人数据的访问保障，但尚未收到官方回复。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。 CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。 Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。” 开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。 通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。 分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300697 封面来源于网络，如有侵权请联系删除