根据微软的最新发现，以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的零日漏洞实施过其他攻击。 此次的漏洞被追踪为 CVE-2023-47246，涉及一个路径遍历漏洞，可能导致黑客在内部安装中执行恶意代码。不过SysAid 已在 23.3.36 版软件中修补了这个漏洞。 微软方面表示：Lace Tempest 黑客组织在利用了该漏洞后，会通过 SysAid 软件发出命令，从而为 Gracewire 恶意软件提供恶意软件加载器。然后通过人为操作的恶意活动，比如横向移动、数据窃取和勒索软件部署等等达到进一步的攻击目的。 据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中。而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外，还用于发送 PowerShell 脚本，这个脚本主要是为了执行加载器，再反过来加载 Gracewire。同时，攻击者还部署了第二个 PowerShell 脚本，用于在部署恶意有效载荷后清除利用证据。 而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike，这是一个合法的后剥削框架。 所以为了更大程度的降低勒索软件攻击的伤害，使用 SysAid 的企业最好尽快安装补丁。同时要注意在打补丁之前扫描环境，看看是否有被利用的迹象。   转自Freebuf，原文链接：https://www.freebuf.com/news/383432.html 封面来源于网络，如有侵权请联系删除

谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。 2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上发布，该工具能够利用 Gmail 帐户将谷歌 Calendar Events用于C2上。 此脚本的开发者和研究员Valerio Alessandroni表示：该脚本利用Google Calendar中的事件描述创建了一个名为MrSaighnal的隐秘通道，该通道可直接连接到谷歌。 谷歌在第八版Threat Horizons 报告中提到，目前并未观察到该工具有在野外被使用的情况，但Mandiant威胁情报部门发现目前有几个PoC的威胁行为者有在地下论坛上分享相关内容。 谷歌方面表示：GCR 在受感染的机器上运行会定期轮询 Calendar 事件描述，然后执行获取到的新命令，输出更新事件描述。由于该工具只在合法基础设施上运行，因此防御者很难及时地发现可疑活动。 这证明威胁行为者对于滥用云服务这件事还是比较感兴趣的。比如某伊朗民族国家行为者，就曾利用宏文档，通过一个代号为 BANANAMAIL 的 Windows NET 后门程序入侵了用户，并借助电子邮件控制了C2。 谷歌方面表示：这个后门程序会利用 IMAP 连接攻击者控制的网络邮件账户，在那些账户中完成解析邮件以获取命令、执行命令，最终将包含解析结果的邮件重新发回。谷歌的威胁分析小组称现已禁用那些被攻击者控制Gmail 账户，以防止这些账户被其利用作为通道使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/383056.html 封面来源于网络，如有侵权请联系删除

暴露于互联网的 Apache ActiveMQ 服务器也是 TellYouThePass 勒索软件攻击的目标，该攻击针对的是先前被用作零日漏洞的关键远程代码执行 (RCE) 漏洞。 该缺陷被追踪为CVE-2023-46604，是 ActiveMQ 可扩展开源消息代理中的一个最严重的错误，它使未经身份验证的攻击者能够在易受攻击的服务器上执行任意 shell 命令。 尽管 Apache 于 10 月 27 日发布了安全更新来修复该漏洞，但网络安全公司ArcticWolf和Huntress Labs发现，至少从 10 月 10 日起，威胁行为者已经利用该漏洞作为零日漏洞部署 SparkRAT 恶意软件已有两周多的时间。 根据威胁监控服务 ShadowServer 的数据，目前在线暴露的 Apache ActiveMQ 服务器超过 9,200 个，其中超过 4,770 个服务器容易受到 CVE-2023-46604 漏洞的攻击。 由于 Apache ActiveMQ 在企业环境中用作消息代理，因此应用安全更新应被视为时间敏感的。 建议管理员立即升级到 ActiveMQ 版本 5.15.16、5.16.7、5.17.6 和 5.18.3，修补所有易受攻击的系统。 未针对 CVE-2023-46604 (ShadowServer) 修补的服务器 成为勒索软件团伙的目标 Apache 修补了这一关键 ActiveMQ 漏洞一周后，Huntress Labs 和 Rapid7 均报告发现攻击者利用该漏洞在客户网络上部署 HelloKitty 勒索软件有效负载。 两家网络安全公司的安全研究人员观察到的攻击始于 10 月 27 日，即 Apache 发布安全补丁几天后。 Arctic Wolf Labs 在一天后发布的一份报告中透露，积极利用 CVE-2023-46604 缺陷的威胁行为者还利用它来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问。 安全研究人员还发现 HelloKitty 和 TellYouThePass 攻击之间的相似之处，这两个攻击活动共享“电子邮件地址、基础设施以及比特币钱包地址”。 北极狼研究人员警告说：“各种具有不同目标的黑客在野外利用 CVE-2023-46604 的证据表明，需要快速修复这一漏洞。” 自两年前Log4Shell 概念验证漏洞在线发布后， TellYouThePass 勒索软件的活动突然大幅增加。 随着 2021 年 12 月以 Golang 编译的恶意软件的形式回归，该勒索软件菌株还增加了跨平台目标功能，使得攻击 Linux 和 macOS 系统成为可能（macOS 样本尚未在野外发现）。   转自安全客，原文链接：https://www.anquanke.com/post/id/291248 封面来源于网络，如有侵权请联系删除

攻击者正在利用最近修补的严重 Atlassian Confluence 身份验证绕过漏洞，使用 Cerber 勒索软件加密受害者的文件。 Atlassian 将该漏洞描述为不正确的授权漏洞，并跟踪为 CVE-2023-22518，该漏洞的严重程度为 9.1/10，它影响所有版本的 Confluence Data Center 和 Confluence Server 软件。 Atlassian上周二发布了安全更新，警告管理员立即修补所有易受攻击的实例，因为该缺陷也可能被利用来擦除数据。 Atlassian 首席信息安全官 (CISO) Bala Sathiamurthy表示：“作为我们持续安全评估流程的一部分，我们发现 Confluence 数据中心和服务器客户如果被未经身份验证的攻击者利用，很容易遭受重大数据丢失。” “目前没有关于主动利用的报告；但是，客户必须立即采取行动来保护他们的实例。” 几天后，该公司发布了第二次警告，提醒客户，概念验证漏洞已经在网上可用，尽管没有证据表明该漏洞正在进行。 那些无法修补系统的人被敦促采取缓解措施，包括备份未修补的实例并阻止对未修补的服务器的互联网访问，直到它们得到保护。 还可以选择通过修改/<confluence-install-dir>/confluence/WEB-INF/web.xml来删除已知的攻击媒介，如公告中所述并重新启动易受攻击的实例。 根据威胁监控服务 ShadowServer 的数据，目前有超过 24,000 个 Confluence 实例暴露在网上，但无法得知有多少个实例容易受到 CVE-2023-22518 攻击。 暴露在互联网上的 Atlassian Confluence 实例 (Shadowserver) 在勒索软件攻击中被利用 Atlassian 于周五更新了他们的公告，警告威胁行为者在 PoC 漏洞发布后已经针对攻击中的缺陷进行了攻击。 该公司表示：“我们收到了一份关于活跃漏洞的客户报告。客户必须立即采取行动来保护他们的实例。如果您已经应用了补丁，则无需采取进一步的行动。” 周末，威胁情报公司 GreyNoise警告称，CVE-2023-22518从11 月 5 日星期日开始广泛利用。 网络安全公司 Rapid7 还观察到针对暴露在互联网上的 Atlassian Confluence 服务器的攻击，其中包括针对 CVE-2023-22518 身份验证绕过的漏洞以及先前被用作零日漏洞的旧版关键权限升级(CVE-2023-22515)。 该公司表示：“截至 2023 年 11 月 5 日，Rapid7 托管检测和响应 (MDR) 正在观察多个客户环境中 Atlassian Confluence 的利用情况，包括勒索软件部署。” “在多个攻击链中，Rapid7 观察到利用后命令执行来下载托管在 193.43.72[.]11 和/或 193.176.179[.]41 上的恶意有效负载，如果成功，将导致单系统 Cerber 勒索软件部署在被利用的 Confluence 服务器上。” CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 上个月发布了一份联合公告，敦促网络管理员立即保护 Atlassian Confluence 服务器免受主动利用的 CVE-2023-22515 权限升级漏洞的影响。根据微软的一份报告，至少从 9 月 14 日起就一直受到积极的利用。 两年前， Cerber 勒索软件（又名 CerberImposter）也被部署在针对 Atlassian Confluence 服务器的攻击中，利用远程代码执行漏洞 (CVE-2021-26084)，该漏洞之前被用来安装加密挖矿程序。   转自安全客，原文链接：https://www.anquanke.com/post/id/291246 封面来源于网络，如有侵权请联系删除

Veeam 今天发布了修补程序，以解决该公司 Veeam ONE IT 基础设施监控和分析平台中的四个漏洞，其中两个漏洞非常严重。 该公司为关键安全漏洞分配了几乎最高的严重性评级（CVSS 基本分数为 9.8 和 9.9/10），因为这些漏洞让攻击者能够获得远程代码执行 (RCE) 并从易受攻击的服务器窃取 NTLM 哈希值。其余两个是中等严重程度的错误，需要用户交互或影响有限。 “Veeam ONE 中的漏洞允许未经身份验证的用户获取有关 Veeam ONE 用于访问其配置数据库的 SQL 服务器连接的信息。这可能会导致在托管 Veeam ONE 配置数据库的 SQL 服务器上远程执行代码。”今天发布的一份公告 描述 了被追踪为 CVE-2023-38547 的错误。 该公司在描述第二个严重漏洞 (CVE- 2023-38548）今天修补。 Veeam 还修复了一个被追踪为 CVE-2023-38549 的安全漏洞，该漏洞可能会让具有高级用户角色的攻击者在跨站点脚本 (XSS) 攻击中窃取管理员的访问令牌，这需要与 Veeam ONE 管理员进行用户交互角色。 CVE-2023-41723 是今天解决的第四个漏洞，具有只读用户角色的恶意行为者可以利用它来访问仪表板计划（攻击者无法进行更改）。 这些缺陷影响积极支持的 Veeam ONE 版本（直至最新版本），该公司已发布以下修补程序来修补它们（ 此安全公告中提供了下载链接）： Veeam ONE 12 P20230314  (12.0.1.2591) Veeam ONE 11a  (11.0.1.1880) Veeam ONE 11  (11.0.0.1379) 管理员必须停止受影响服务器上的 Veeam ONE 监控和报告服务，用修补程序中的文件替换磁盘上的文件，然后重新启动服务以部署修补程序。 今年 3 月，Veeam 还修复了备份和复制软件中的一个高严重性备份服务漏洞(CVE-2023-27532)，该漏洞可用于破坏备份基础设施主机。 此缺陷后来成为 与出于经济动机的 FIN7 威胁组织相关的攻击的目标，该组织因与多个勒索软件操作有联系而闻名，包括 Conti 集团、REvil、Maze、Egregor 和 BlackBasta。 几个月后，古巴勒索软件团伙利用该漏洞 攻击 美国的关键基础设施组织和拉丁美洲的 IT 公司。 Veeam 表示 ，其软件被全球超过 450,000 家客户使用，其中包括 82% 的财富 500 强公司和 72% 的全球 2,000 强年度排名公司。 转自安全客，原文链接：https://www.anquanke.com/post/id/291244 封面来源于网络，如有侵权请联系删除

QNAP Systems 发布了针对两个关键命令注入漏洞的安全公告，这些漏洞影响 QTS 操作系统的多个版本及其网络附加存储 (NAS) 设备上的应用程序。 第一个漏洞的编号为 CVE-2023-23368 ，严重程度为 9.8（满分 10）。这是一个命令注入漏洞，远程攻击者可利用该漏洞通过网络执行命令。 受安全问题影响的QTS版本为QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。 以下版本中提供了修复： QTS 5.0.1.2376 内部版本 20230421 及更高版本 QTS 4.5.4.2374 内部版本 20230416 及更高版本 QuTS Hero h5.0.1.2376 内部版本 20230421 及更高版本 QuTS Hero h4.5.4.2374 内部版本 20230417 及更高版本 QuTScloud c5.0.1.2374 及更高版本 第二个漏洞被识别为CVE-2023-23369  ，严重程度较低，为 9.0，也可以被远程攻击者利用，达到与前一个漏洞相同的效果。 受影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3 和 4.2.x、多媒体控制台 2.1.x 和 1.4.x，以及媒体流加载项 500.1.x 和 500.0.x。 修复程序可用于： QTS 5.1.0.2399 内部版本 20230515 及更高版本 QTS 4.3.6.2441 内部版本 20230621 及更高版本 QTS 4.3.4.2451 内部版本 20230621 及更高版本 QTS 4.3.3.2420 内部版本 20230621 及更高版本 QTS 4.2.6 内部版本 20230621 及更高版本 多媒体控制台 2.1.2 (2023/05/04) 及更高版本 多媒体控制台 1.4.8 (2023/05/05) 及更高版本 媒体流附加组件 500.1.1.2 (2023/06/12) 及更高版本 媒体流附加组件 500.0.0.11 (2023/06/16) 及更高版本 要更新 QTS、QuTS Hero 或 QuTScloud，管理员可以登录并导航至控制面板 > 系统 > 固件更新，然后单击实时更新下的“检查更新”以下载并安装最新版本。还可以从 QNAP 网站手动下载更新。 可以通过在应用程序中心查找安装并单击“更新”按钮（仅在存在更新版本时可用）来更新多媒体控制台。更新媒体流插件的过程类似，用户也可以通过搜索应用中心找到该插件。 由于 NAS 设备通常用于存储数据，因此命令执行缺陷可能会产生严重影响，因为网络犯罪分子经常寻找新目标来窃取和/或加密敏感数据。然后，攻击者可以向受害者索要赎金，以免泄露数据或解密数据。 QNAP 设备过去曾成为大规模勒索软件攻击的目标。一年前，Deadbolt 勒索软件团伙利用零日漏洞 对公共互联网上暴露的 NAS 设备进行加密。   转自安全客，原文链接：https://www.anquanke.com/post/id/291241 封面来源于网络，如有侵权请联系删除

据观察，与 Kinsing 有关的威胁行为者试图利用最近披露的名为 Looney Tunables 的 Linux 权限升级漏洞，入侵云环境。 云安全公司 Aqua 在一份报告中称：攻击者还通过从云服务提供商（CSP）提取凭证来扩大其云原生攻击的范围。 这一事件标志着首次公开记录的主动利用Looney Tunables（CVE-2023-4911）的实例，它可以让威胁行为者获得根权限。 Kinsing Actor 一直在伺机调整其攻击链，利用新披露的安全漏洞为自己谋利，最近一次是利用 Openfire 中的一个高严重性漏洞（CVE-2023-32315）来实现远程代码执行。 最新的一组攻击需要利用 PHPUnit（CVE-2017-9841）中的一个关键远程代码执行漏洞，据了解，该加密劫持组织至少从 2021 年开始就采用这种策略来获取初始访问权限。 Linux 漏洞 随后，一名在 X（以前的 Twitter）上化名为 bl4sty 的研究人员发布了一个基于 Python 的漏洞利用程序，利用该漏洞手动探测受害者环境中的 Looney Tunables。 随后，Kinsing 会获取并执行一个额外的 PHP 漏洞。Aqua 表示：起初，该漏洞利用程序是模糊的。然而，在去混淆后，我们可以看到这是为进一步利用活动而设计的 JavaScript。 JavaScript代码本身是一个网络外壳，可对服务器进行后门访问，使其能够执行文件管理、命令执行，并收集更多有关其运行机器的信息。 攻击的最终目的似乎是提取与云服务提供商相关的凭证，以便采取后续行动，这与威胁行为者部署 Kinsing 恶意软件和启动加密货币矿机的模式相比，是一个重大的战术转变。 安全研究员阿萨夫-莫拉格（Assaf Morag）说：这标志着 Kinsing 首次主动寻求收集此类信息。 这一最新进展表明，他们的行动范围有可能扩大，预示着Kinsing的行动在不久的将来可能会多样化，从而对云原生环境构成更大的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/382887.html 封面来源于网络，如有侵权请联系删除

这些漏洞可被远程利用，来执行任意代码或泄露有关易受攻击的敏感信息。专业APT组织十分偏爱利用Exchange高危漏洞发起针对性攻击，微软对这几个漏洞反应迟缓逼着趋势科技提前披露漏洞信息的作法令人不解。 趋势科技披露了 Microsoft Exchange 中的四个0Day漏洞，经过身份验证的攻击者可以远程利用这些漏洞来执行任意代码或泄露有关易受攻击的敏感信息。 趋势科技于 2023 年 9 月 7 日至 8 日向微软报告了这些漏洞，微软承认了这些漏洞，但至今尚未修复这些漏洞。趋势科技选择根据其负责任的披露政策公开披露该漏洞。 以下是 ZDI 披露的缺陷列表： ZDI-23-1578 – Microsoft Exchange ChainedSerializationBinder 不受信任数据反序列化远程代码执行漏洞 此漏洞允许远程攻击者在受影响的 Microsoft Exchange 安装上执行任意代码。需要进行身份验证才能利用此漏洞。该特定缺陷存在于 ChainedSerializationBinder 类中。该问题是由于缺乏对用户提供的数据进行适当验证而导致的，这可能会导致不受信任的数据被反序列化。攻击者可以利用此漏洞在 SYSTEM 上下文中执行代码。 ZDI-23-1579 – Microsoft Exchange DownloadDataFromUri 服务器端请求伪造信息泄露漏洞 此漏洞允许远程攻击者泄露有关受影响的 Microsoft Exchange 安装的敏感信息。需要进行身份验证才能利用此漏洞。DownloadDataFromUri 方法中存在特定缺陷。该问题是由于在访问资源之前缺乏对 URI 的正确验证而导致的。攻击者可以利用此漏洞泄露 Exchange 服务器上下文中的信息。 ZDI-23-1580 – Microsoft Exchange DownloadDataFromOfficeMarketPlace 服务器端请求伪造信息泄露漏洞 此漏洞允许远程攻击者泄露有关受影响的 Microsoft Exchange 安装的敏感信息。需要进行身份验证才能利用此漏洞。DownloadDataFromOfficeMarketPlace 方法中存在特定缺陷。该问题是由于在访问资源之前缺乏对 URI 的正确验证而导致的。攻击者可以利用此漏洞泄露 Exchange 服务器上下文中的信息。 ZDI-23-1581 – Microsoft Exchange CreateAttachmentFromUri 服务器端请求伪造信息泄露漏洞 此漏洞允许远程攻击者泄露有关受影响的 Exchange 安装的敏感信息。需要进行身份验证才能利用此漏洞。该特定缺陷存在于 CreateAttachmentFromUri 方法中。该问题是由于在访问资源之前缺乏对 URI 的正确验证而导致的。攻击者可以利用此漏洞泄露 Exchange 服务器上下文中的信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Hg_uVPWAhvV931d2NPbPyw 封面来源于网络，如有侵权请联系删除

安全研究人员发布了针对 Wyze Cam v3 设备的概念验证 (PoC) 漏洞，该漏洞可打开反向 shell 并允许接管易受攻击的设备。 Wyze Cam v3 是一款最畅销、价格低廉的室内/室外安全摄像头，支持彩色夜视、SD 卡存储、用于智能手机控制的云连接、IP65 防风雨等。 安全研究员 Peter Geissler（又名bl4sty）最近在最新的 Wyze Cam v3 固件中发现了两个缺陷，这些缺陷可以链接在一起以便在易受攻击的设备上远程执行代码。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 DTLS 身份验证绕过 Wyze 有一个守护进程 (iCamera)，它监听 UDP 端口 32761，讲一些TUTK 协议的衍生协议。协议的外层由使用有趣常数的加扰/异或帧组成。在此自定义帧格式内，您可以与相机建立 DTLS 会话。唯一受支持的密码套件是ECDHE-PSK-CHACHA20-POLY1305，典型的攻击者无权访问（设备唯一的）PSK。然而，有一种后备方法，您可以在 TLS 握手期间指定以“AUTHTKN_”开头的 PSK 身份，以便能够选择任意选择的 PSK。 JSON 解包中的堆栈缓冲区溢出 在与摄像机建立经过身份验证的 DTLS 会话后不久，客户端会发送一个数据包，其中包含 JSON 对象 blob，其属性名为cameraInfo. 在这个对象内部有一个包含数字的数组，称为audioEncoderList。负责解析此 JSON 对象的 iCamera 代码将循环遍历所有audioEncoderList条目并将它们复制到堆栈上固定大小的整数数组。 当然，既然现在是 2023 年，而且这是物联网的废话，我们不应该指望他们用堆栈金丝雀编译二进制文件，甚至作为位置无关的可执行文件。 因此，不需要任何额外的信息泄漏来绕过 ASLR 值，就可以 ROP 取得胜利！ 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行，Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。 补丁争议  在一次私下讨论中，Geissler 向 BleepingComputer 解释说，他在大多数 Wyze 用户应用补丁之前就向公众公开了他的漏洞，以表达他对 Wyze 补丁策略的不满。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。 由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行。 Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/291113 封面来源于网络，如有侵权请联系删除

知名网络安全公司HackerOne近日宣布，自2012年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。 HackerOne提供了一个漏洞赏金平台，将企业与白帽的安全专业知识、资产发现、持续评估和流程增强相结合，以发现和弥补数字攻击面中的漏洞。这些白帽可凭借发现的漏洞和弱点换取奖励。 根据HackerOne发布的《2023 年黑客力量安全报告》，有30名优秀的白帽每人获得了超 100 万美元的奖励，而其中最厉害的白帽奖励超过了400万美元。 该公司强调，在高额奖励支付承诺的推动下，加密货币和区块链实体继续受到白帽的广泛关注。今年，加密货币公司支付的最大赏金为10.05万美元。 今年该平台上漏洞平均奖金为 500 美元，有10%的漏洞奖金超过了 3000 美元。对于高危和高严重性缺陷，所有行业的平均奖金额为 3700 美元，有10%的奖金超过了1.2万美元。 参与 HackerOne 计划的白帽中有61%表示会利用生成式人工智能工具，以更便捷地编写报告、代码并减少语言障碍。 但同时，AI本身也开始成为挖掘的对象，55% 的白帽表示预计 AI 工具将成为未来几年的重要目标。 道德黑客重点关注的领域 (图源：HackerOne) 此外，公司也调研了白帽提交漏洞的动机，以及会有哪些原因导致他们不再使用HackerOne。无疑，能够获得赏金奖励是最大动机，占比73%，而响应时间慢成为最主要的负面因素，占比60%。   转自freebuf，原文链接：https://www.freebuf.com/news/382199.html 封面来源于网络，如有侵权请联系删除