2017上半年全球物聯網威脅報告：物聯網攻擊增加280%

關注E安全 關注網路安全一手資訊

E安全8月11日訊 F5 Labs周三發布全球物聯網威脅報告，對攻擊者如何搭建殭屍網路攻擊物聯網設備做了調查。

目前，已投入使用的物聯網（IoT）設備多達幾十億台，未來還將繼續增加。Gartner預計，到2020年，超過50%的主要新流程和系統將包含物聯網元素。物聯網設備進入家庭和辦公室的同時，企業也在面臨越來越大的風險。

為了評估物聯網的當前威脅狀況， F5 Labs周三發布全球物聯網威脅報告。

報告指出，物聯網攻擊2017年上半年增加280%，主要受Mirai驅動——感染物聯網設備，並將設備變成「肉雞」的惡意軟體。

報告顯示，83%的攻擊來自西班牙託管服務提供商SoloGigabit。

先前，發起物聯網攻擊量最多的國家為中國，2017年上半年，中國的攻擊數量驟減。這份報告指出，僅1%的攻擊來自中國，這可能是因為中國清理了被感染的物聯網設備。

F5 Labs的研究人員表示，現如今是時候在另一起大規模攻擊發生之前採取行動。F5 Labs認為，企業需制定DDoS策略，認清企業並不總是直接的攻擊目標，可能因服務提供商遭受攻擊而淪為受害者。

此外，研究人員建議，企業杜絕購買、銷售存在漏洞的物聯網設備，避免物聯網設備被重新目的化攻擊企業，企業應在購買物聯網設備之前進行深入研究。

報告原文下載：http://t.cn/R9ncyDC

美國法院系統PACER存在跨站請求偽造漏洞近30年

據報道，美國法院電子司法卷宗公共存取系統PACER存在的跨站請求偽造漏洞，這個存在時間長達30年的漏洞現已被修復。黑客可利用該漏洞劫持賬號，並檢索受害者的民事和刑事訴訟案件卷宗。

PACER是美國法院電子司法卷宗公共存取系統，可供用戶在線獲取聯邦上訴機構、地區和破產法院的案件和訴訟事件表信息。PACER由聯邦司法機關提供，旨在通過集中式服務為用戶提供途徑訪問法院信息。PACER主要使用對象為律師和記者，提取文件中的PDF和網頁需付費10美分，每個文件至多3美元。

Free Law Project（提供法律資料、開發法律研究工具的組織）表示，攻擊者利用這個跨站請求偽造漏洞獲取任何訪客的PACER賬號，而賬號信息可被用來下載PDF，給受害者帶來經濟損失。

研究人員表示，PACER使用Cookie存儲登錄憑證存在漏洞。由於這些Cookie未經安全處理，任何網站只需通過一段JavaScript代碼就能調用這些Cookie，並檢索訪客的PACER登錄詳情。

研究人員發布了PoC（概念驗證）證明漏洞風險並表示，PoC發布之前，該漏洞未被大肆利用。但對於PACER用戶而言，未付費會影響信譽，美國法院行政管理辦公室（Administrative Office of the US Courts）還會命人上門收欠款。

但更糟糕的是，PACER自上線開始（20世紀90年代）就可能存在該漏洞。Free Law Project於今年2月報告了該漏洞，本周三終於完全修復。

攻擊者可利用被竊取的賬號詳情免費瀏覽文件，但研究人員曾擔心登錄憑證被盜可能會帶來更嚴重的後果。

11

E安全推薦文章

官網：www.easyaq.com

2017年8月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！