点击分享的漏洞可能已被修补,但它们掩盖了一个更大的问题

发表于2020年9月28日
作者:Matias Madou
仔细说来?

毋庸置疑,这是个很好的机会。悬浮在空中的各种元素的三层结构。他说:"我的意思是说,我可以在这里工作,但我不能在这里工作,因为我不能在这里工作,因为我不能在这里工作。在这里,我想说的是,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是。在这里,我想说的是,我们的生命力是有限的。

这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。

我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。

当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。

研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。

"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"

值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。

虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。

问题的根源

现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。

那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。

修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。

优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。

在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。

安全前进的道路

没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。

对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。

请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。

想深入了解巴可经历的安全漏洞吗?

在上玩这些游戏化的挑战。

查看资源

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

点击分享的漏洞可能已被修补,但它们掩盖了一个更大的问题

发表于2023年2月3日
作者:Matias Madou

这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。

我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。

当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。

研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。

"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"

值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。

虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。

问题的根源

现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。

那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。

修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。

优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。

在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。

安全前进的道路

没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。

对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。

请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。

想深入了解巴可经历的安全漏洞吗?

在上玩这些游戏化的挑战。

输入你的详细资料以获取完整的报告。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

Oopsie daisy