预警：黑客可利用0Day漏洞远程入侵监控摄像头｜IoT设备不受信任的17大原因｜亚马逊调查员工出售内部数据

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：大后天就要放假了，各位看官，早上好。希望中秋小长假，蠕虫们消停点，好让各设备的安全维护人员们安安心心过好节。摄像头又暴零日漏洞，美国西海岸前年大面积断网事件，主角就是以摄像头为主，组成物联网僵尸网络肆虐美国。这次这个品牌的摄像头同样有数十万的市场占有率，如果再被黑客集中起来搞大事，搞僵尸矩阵，破坏力又将难以预计。

时隔一年之后，超过20亿台设备仍易遭受BlueBorne攻击

2017年9月，Armis Labs的研究人员发现新型攻击技术BlueBorne，其将目标瞄向包括运行Android、iOS、Windows和Linux在内的移动设备、桌面设备和物联网设备。BlueBorne将这些设备暴露在新型远程攻击当中，甚至无需借助用户交互和配对。实施BlueBorne攻击的条件是目标系统须启用蓝牙功能。据研究人员透露，在继发现蓝牙漏洞BlueBorne一年之后，仍有超过20亿台设备易遭遇此类攻击。

NUUO产品被曝0Day漏洞，黑客可远程入侵数十万摄像头

美国网络安全公司Tenable的研究人员发现，数字联网监控系统供应商NUUO的网络视频录像机软件存在缓冲区溢出漏洞，其编号为CVE-2018-1149，研究人员将该漏洞命名为“躲猫猫”（Peekaboo）。该漏洞允许在视频监控系统上远程执行代码，这意味着黑客可观看或篡改监控视频影像。具体而言，攻击者可以利用这个漏洞浏览、篡改视频监控记录等信息，还可窃取机密数据，如凭证、IP地址、埠使用情况、监控设备的型号。攻击者甚至可利用该漏洞使摄像头等监控设备失灵。据悉，Peekaboo漏洞的影响范围较广，波及超过100个品牌、2500款不同型号的摄像头，以及数十万设备。

除此之外，该系统还存在另外一个漏洞CVE-2018-1150。这两个漏洞影响了NUUO的NVRMini2设备（一款网络连接存储设备和网络视频录像机）。NUUO主要提供闭路电视、监视、视频软件和硬件。NUUO的软件和设备广泛用于零售、交通、教育、政府和银行等行业。

美众议员提出新法案，希望解决网络安全劳动力短缺问题

网络安全劳动力短缺问题严峻，美国对该问题的关注度不减。近日，美国众议员提出一项网络劳动力法案，其旨在通过资助学徒计划，解决网络安全劳动力短缺的问题。这项新的立法将帮助在美国劳工部内设立一个资助项目，以便在竞争的基础上向劳动力中介提供资助，其目标在于创建、实施并拓宽网络安全学徒计划。

NIST：无法信任或认证物联网设备的17个原因

当美国加利福尼亚州的立法者考虑制定美国首个物联网安全法规时，美国国家标准技术研究所（NIST）也在努力解决如何认证联网设备的问题。美国国家标准技术研究所9月17日公布“NIST内部报告8222物联网问题草案”，确定了17个与信任相关的技术问题，而这些问题可能会对采用物联网产品和服务产生负面影响。NIST提出的这17个问题包括可扩展性、可预测性、缺乏认证标准、可用性问题、性能问题、可靠性问题等。

易遭遇“永恒之蓝”漏洞攻击的系统陷入无休止的感染

德国网络安全公司Avira发出警告称，未打补丁抵御“永恒之蓝”漏洞攻击的Windows设备陷入了无休止的感染状态。Avira表示，微软发布补丁一个月后，该漏洞被公之于众，但如今仍有数十万个系统依然容易遭受攻击。Avira指出，未打补丁的系统仍暴露在滥用“永恒之蓝”漏洞的恶意软件攻击当中。值得指出的是，在WannaCry病毒爆发一年多之后，仍有大量反复遭受感染的设备。据透露，未打补丁的设备数量相当多。Avira透露，受影响最严重的10个国家包括印度尼西亚、越南、泰国、埃及、俄罗斯、中国、菲律宾、印度和土耳其。

Alpine Linux 中存在代码执行漏洞，影响容器

根据安全研究人员的发现，Alpine Linux中存在多个漏洞，包括一个允许执行任意代码的漏洞。具体而言，Alpine Linux的默认包管理器APK受多个漏洞影响，其中一个最严重的漏洞可允许恶意包镜像在用户设备上执行任意代码。目前该漏洞已被修复，且镜像已经有了更新，建议受影响的用户及时对镜像进行更新。

亚马逊调查员工数据泄露事件

据报道，经亚马逊9月16日证实，对于部分员工涉嫌将机密客户数据出售给第三方公司（尤其中国）的行为，该公司正在开展调查。据《据华尔街日报》报道，亚马逊的部分员工通过中间人向该网站的商家出售内部数据和其他机密信息，从而在违反公司政策的情况下，让这些商家获得比竞争对手更大的优势。据悉，这一出售机密数据的行为在中国尤其严重，其原因在于中国卖家数量大幅增加，且亚马逊中国员工的薪资相对较低。亚马逊表示，他们对滥用公司系统的行为持零容忍的态度。

白宫新政策授权美国防部长执行特定网络行动任务

美国国家安全总统备忘录13（NSPM 13）提出，美国总统可将某些网络许可权授予国防部长执行特定任务，以此加速网络行动。美国国防部的网络官员对这项政策持乐观态度，并表示这些变化可能会在行动速度方面有所改观。一名官员表示，根据新的政策，授权国防部长执行这些任务仍需通过跨部门协调程序，但不是通过由美国国家安全委员会主导的程序，而是国防部主导的程序。

新加坡将设立东盟-新加坡网络安全卓越中心

新加坡副总理张志贤（Teo Chee Hean）9月18日在第三届新加坡国际网络活动周的开幕上宣布，新加坡将设立东盟-新加坡网络安全卓越中心，以加强东盟成员国的网络战略制定、立法和研究能力。该中心将扩大现有的东盟网络能力计划，并培训东盟地区的国家计算机应急响应小组（CERT），并促进CERT与CERT之间进行信息开源共享。

新型XBash恶意软件：集勒索软件、挖矿软件、僵尸网络和蠕虫的功能为一身

Palo Alto Networks的安全研究人员发现一款名为“XBash”的恶意软件，其将目标瞄向Linux和Windows服务器。Xbash的开发人员通过python开发了这款恶意软件，然后通过使用Pyinstaller将其转换成了一个单独的Linux ELF可执行程序。值得指出的是，这款恶意软件结合了多种恶意软件的功能，例如勒索软件、挖矿软件、僵尸网络和蠕虫。