2017上半年全球物聯網威脅報告:物聯網攻擊增加280%
關注E安全 關注網路安全一手資訊
E安全8月11日訊 F5 Labs周三發布全球物聯網威脅報告,對攻擊者如何搭建殭屍網路攻擊物聯網設備做了調查。
目前,已投入使用的物聯網(IoT)設備多達幾十億台,未來還將繼續增加。Gartner預計,到2020年,超過50%的主要新流程和系統將包含物聯網元素。物聯網設備進入家庭和辦公室的同時,企業也在面臨越來越大的風險。
為了評估物聯網的當前威脅狀況, F5 Labs周三發布全球物聯網威脅報告。
報告指出,物聯網攻擊2017年上半年增加280%,主要受Mirai驅動——感染物聯網設備,並將設備變成「肉雞」的惡意軟體。
報告顯示,83%的攻擊來自西班牙託管服務提供商SoloGigabit。
先前,發起物聯網攻擊量最多的國家為中國,2017年上半年,中國的攻擊數量驟減。這份報告指出,僅1%的攻擊來自中國,這可能是因為中國清理了被感染的物聯網設備。
F5 Labs的研究人員表示,現如今是時候在另一起大規模攻擊發生之前採取行動。F5 Labs認為,企業需制定DDoS策略,認清企業並不總是直接的攻擊目標,可能因服務提供商遭受攻擊而淪為受害者。
此外,研究人員建議,企業杜絕購買、銷售存在漏洞的物聯網設備,避免物聯網設備被重新目的化攻擊企業,企業應在購買物聯網設備之前進行深入研究。
報告原文下載:http://t.cn/R9ncyDC
美國法院系統PACER存在跨站請求偽造漏洞近30年
據報道,美國法院電子司法卷宗公共存取系統PACER存在的跨站請求偽造漏洞,這個存在時間長達30年的漏洞現已被修復。黑客可利用該漏洞劫持賬號,並檢索受害者的民事和刑事訴訟案件卷宗。
PACER是美國法院電子司法卷宗公共存取系統,可供用戶在線獲取聯邦上訴機構、地區和破產法院的案件和訴訟事件表信息。PACER由聯邦司法機關提供,旨在通過集中式服務為用戶提供途徑訪問法院信息。PACER主要使用對象為律師和記者,提取文件中的PDF和網頁需付費10美分,每個文件至多3美元。
Free Law Project(提供法律資料、開發法律研究工具的組織)表示,攻擊者利用這個跨站請求偽造漏洞獲取任何訪客的PACER賬號,而賬號信息可被用來下載PDF,給受害者帶來經濟損失。
研究人員表示,PACER使用Cookie存儲登錄憑證存在漏洞。由於這些Cookie未經安全處理,任何網站只需通過一段JavaScript代碼就能調用這些Cookie,並檢索訪客的PACER登錄詳情。
研究人員發布了PoC(概念驗證)證明漏洞風險並表示,PoC發布之前,該漏洞未被大肆利用。但對於PACER用戶而言,未付費會影響信譽,美國法院行政管理辦公室(Administrative Office of the US Courts)還會命人上門收欠款。
但更糟糕的是,PACER自上線開始(20世紀90年代)就可能存在該漏洞。Free Law Project於今年2月報告了該漏洞,本周三終於完全修復。
攻擊者可利用被竊取的賬號詳情免費瀏覽文件,但研究人員曾擔心登錄憑證被盜可能會帶來更嚴重的後果。
11
E安全推薦文章
官網:www.easyaq.com
2017年8月
01
02
03
04
05
06
07
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※若缺乏強有力網路安全措施,英國企業或將被罰1700萬英鎊
※英國發布《聯網與自動駕駛汽車網路安全主要原則》
※打擊網路犯罪需要掌握哪些關鍵要素?
※澳大利亞ASIC投入6000萬澳元配合Nuix公司實現數據分析與監控
TAG:E安全 |
※2018年3月17日物聯網新聞
※2018年4月25日物聯網新聞
※2018年4月16日物聯網新聞
※2018年4月16日物聯網新聞
※2018年4月24日物聯網新聞
※2018年2月26日物聯網新聞
※2018年5月23日物聯網新聞
※2018年3月16日物聯網新聞
※2018年8月13日物聯網新聞
※2018年4月1日物聯網新聞
※2018年2月5日物聯網新聞
※2018年2月28日物聯網新聞
※2018年2月28日物聯網新聞
※2018年7月30日物聯網新聞
※2018年4月2日物聯網新聞
※2018年4月5日物聯網新聞
※2018年6月7日物聯網新聞
※2018年5月5日物聯網新聞
※2018年5月30日物聯網新聞
※物聯網早報 2018年5月10日