2021年CVE回顾： 时间飞逝，转眼间来到了2022年。新的一年即将开始，让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5，2020年CVSSV3平均值为6.1，同比去年下降0.6。 通过平均值的对比，我们可以清楚的看到各大厂商在2021年对物联网安全的重视性越来越高，产品也越来越安全。 物联网与我们的生活息息相关，看到物联网的安全性的不断的提高，作为用户对我们自己的隐私等有了更安全的保证。 我们作为一家专注于物联网安全的公司，统计了以下品牌部分评分较高的CVE编号以及描述等。 思科： CVE-2021-34770 1.CVSSV3评分7.2，Cisco IOS XE CAPWAP 数据包的堆溢出，用于 Cisco Catalyst 9000 系列无线控制器的 Cisco IOS XE 软件的无线接入点控制和配置 (CAPWAP) 协议处理中存在一个漏洞，该漏洞可以允许未经身份验证的远程攻击者以管理权限执行任意代码或导致拒绝服务 (DoS)  受影响设备的状况。该漏洞是由于验证 CAPWAP 数据包过程中发生的逻辑错误造成的。攻击者可以通过向受影响的设备发送精心制作的 CAPWAP 数据包来利用此漏洞。成功的利用可以允许攻击者以管理权限执行任意代码或导致受影响的设备崩溃并重新加载，从而导致 DoS 。（NVD发布日期：2021-09-22）   CVE-2021-34727 2.CVSSV3评分9.8， Cisco IOS XE SD-WAN 软件中 vDaemon 进程中的漏洞可以允许未经身份验证的远程攻击者在受影响的设备上造成缓冲区溢出。此漏洞是由于受影响的设备处理流量时边界检查不足造成的。攻击者可以通过向设备发送精心设计的流量来利用此漏洞。成功的利用可以允许攻击者导致缓冲区溢出并可以使用 root 级权限执行任意命令，或导致设备重新加载，这可以导致拒绝服务。（NVD发布日期：2021-09-22）   CVE-2021-1619 3.CVSSV3评分9.1，Cisco IOS XE软件的AAA (authentication, authorization, and accounting)功能存在一个漏洞，可以允许未经认证的远程攻击者绕过NETCONF或RESTCONF认证，执行以下任意一种操作:安装、操作或删除受影响设备的配置导致内存损坏，导致受影响设备上拒绝服务(DoS)。该漏洞是由于一个未初始化的变量造成的。攻击者可以通过向受影响的设备发送一系列NETCONF或RESTCONF请求来利用这个漏洞。一个成功的攻击可以允许攻击者使用NETCONF或RESTCONF来安装、操作或删除网络设备的配置，或破坏设备上的内存，从而导致DoS。（NVD发布日期：2021-09-22）   CVE-2021-1609 4. CVSSV3评分9.8，Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中的多个漏洞可以允许攻击者执行以下操作：执行任意代码导致拒绝服务 (DoS) 、执行任意命令。 （NVD发布日期：2021-08-04）   CVE-2021-1610 5.CVSSV3评分8.8，Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中的多个漏洞可以允许攻击者执行以下操作：执行任意代码导致拒绝服务 (DoS)、执行任意命令。（NVD发布日期：2021-08-04）   CVE-2021-34730 6.CVSSV3评分9.8，Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的通用即插即用 (UPnP) 服务中存在一个漏洞，该漏洞可以允许未经身份验证的远程攻击者执行任意代码或导致受影响的设备意外重启，从而导致拒绝服务 (DoS) 。此漏洞是由于对传入 UPnP 流量的验证不当造成的。攻击者可以通过向受影响的设备发送精心设计的 UPnP 请求来利用此漏洞。成功的利用可以允许攻击者以 root 用户身份在底层操作系统上执行任意代码或导致设备重新加载，从而导致 DoS 。（NVD发布日期：2021-08-18）   TP-Link： CVE-2021-27246 1.CVSSV3评分8.0，TP-LINK Archer A7 AC1750 tdpServer Endpoint 内存损坏，此漏洞允许邻近网络的攻击者在受影响的 TP-Link Archer A7 AC1750 1.0.15 路由器安装上执行任意代码。利用此漏洞不需要身份验证。该漏洞存在于 tdpServer 端点处理 MAC 地址的过程中。精心设计的 TCP 消息可以将堆栈指针写入堆栈。攻击者可以利用此漏洞在 root 用户的上下文中执行代码。（NVD发布日期：2021-04-15）   CVE-2020-35576 2.CVSSV3评分8.8，TP-Link TL-WR841N V13 Traceroute 权限升级，固件版本低于 201216 的TP-Link TL-WR841N V13 (JP) 上的 traceroute 功能中的命令注入允许经过身份验证的用户通过 shell 元字符以 root 身份执行任意代码，这是与 CVE-2018-12577 不同的漏洞。（NVD发布日期：2021-01-27）   CVE-2021-41450 3.CVSSV3评分7.5，v1_211117 之前的 TP-Link AX10v1 中的 HTTP 请求走私攻击允许未经身份验证的远程攻击者通过发送特定的 HTTP 数据包对 Web 应用程序进行 DoS。（NVD发布日期：2021-12-08） CVE-2021-27245 4.CVSSV3评分8.1， TP-LINK Archer A7/Archer C7 IPv6 SSH 权限升级，此漏洞允许在 Archer C7(US)_V5_210125 和 Archer A7(US)_V5_200220 AC1750 路由器之前的受影响安装的 TP-Link Archer A7 上绕过防火墙。利用此漏洞不需要身份验证。该漏洞存在于 IPv6 连接的处理中。该问题是由于缺乏对 IPv6 SSH 连接的适当过滤造成的。攻击者可以结合其他漏洞利用此漏洞在 root 上下文中执行代码。（NVD发布日期：2021-03-29） CVE-2021-41653 5.CVSSV3评分9.8， TL-WR840N(EU)_V5_171211 固件的 TP-Link TL-WR840N EU v5 路由器上的 PING 功能很容易受到通过IP地址输入字段中设计的有效负载执行远程代码的攻击。（NVD发布日期：2021-11-13）  Juniper ： CVE-2021-31372 1.CVSSV3评分8.8，Juniper Networks Junos OS 的 J-Web 中的不正确输入验证漏洞允许经过本地身份验证的 J-Web 攻击者将其权限提升为目标设备的 root权限。（NVD发布日期：2021-10-19）   CVE-2021-31349 2.CVSSV3评分9.8，Juniper 128 Technology Session Smart Router HTTP Header 弱身份验证，使用内部 HTTP 标头创建的身份验证绕过漏洞 (CWE-287)，允许攻击者查看内部文件、更改设置、操纵服务和执行任意代码。（NVD发布日期：2021-10-19）   CVE-2021-0249 3.CVSSV3评分9.8，在配置了UTM服务的SRX系列设备上，Juniper Networks Junos OS的数据包转发引擎（PFE）中存在缓冲区溢出漏洞，攻击者可通过向设备发送精心编制的数据包，在目标上执行任意代码或命令。（NVD发布日期：2021-04-22）   CVE-2021-0277 4.CVSSV3评分8.8，Juniper Networks Junos OS 和 Junos OS Evolved 的第 2 层控制协议守护进程 (l2cpd) 在处理特制 LLDP 帧时存在越界读取漏洞，可以允许攻击者导致拒绝服务 (DoS)，或导致远程代码执行 (RCE)。继续接收和处理从本地广播域发送的这些帧，将反复使 l2cpd 进程崩溃造成拒绝服务 (DoS) 。（NVD发布日期：2021-07-15）   CVE-2021-31384 5.CVSSV3评分10.0，Juniper Junos OS J-Web Web Administrative Interface 权限升级，由于在特定设备配置中缺少授权和访问控制力度不足，在SRX系列上的Juniper Networks Junos系统存在一个漏洞，攻击者可以通过该漏洞从任何设备接口成功访问J-Web管理界面，而不考虑web管理配置和过滤规则，这些规则会保护对J-Web的访问。（NVD发布日期：2021-10-19）  Netgear ： CVE-2021-45612 1.CVSSV3评分9.6，某些 NETGEAR 设备会受到未经身份验证的攻击者命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-45616 2.CVSSV3评分9.8，某些 NETGEAR 设备会受到未经身份验证的攻击者命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-45620 3.CVSSV3评分9.8，某些NETGEAR设备会受到未经认证的攻击者的命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-45622 4.CNA评分9.6，某些NETGEAR设备会受到未经认证的攻击者的命令注入的影响。（NVD发布日期：2021-12-25）   CVE-2021-40867 5.CVSSV3评分7.1，Netgear GC108P HTTP Authentication 弱身份验证，某些 NETGEAR 智能交换机受到身份验证劫持竞争条件漏洞的影响，该漏洞由未经身份验证的攻击者在登录过程中使用与管理员相同的源 IP 地址（例如,在同一个NAT设备,或者已经拥有立足管理的机器上）。发生这种情况是因为多步骤 HTTP 身份验证过程仅与源 IP 地址有效绑定。（NVD发布日期：2021-09-13）  F5 BIG-IP： CVE-2021-22986 1.CVSSV3评分9.8，在 16.0.1.1 之前的 BIG-IP 版本 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x 和 12.1.5.3 之前的 12.1.x 和 BIG-IQ 7.1.0.x 7.1.0.3 之前和 7.0.0.x 7.0.0.2 之前，iControl REST 接口存在未经身份验证的远程命令执行漏洞。(NVD发布日期：2021-3-31)   CVE-2021-22987 2.CVSSV3评分9.9，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3 在设备模式下运行时，流量管理用户界面 (TMUI)，在未公开的页面中存在一个经过身份验证的远程命令执行漏洞(NVD发布日期：2021-3-31) CVE-2021-22988 3.CVSSV3评分8.8，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3、TMUI，也称为配置实用程序，在未公开的页面中存在一个经过身份验证的远程命令执行漏洞。（NVD发布日期：2021-3-31）   CVE-2021-23031 4.CVSSV3评分9.9，在 16.0.1.2 之前的版本 16.0.x、15.1.3 之前的 15.1.x、14.1.4.1 之前的 14.1.x、13.1.4 之前的 13.1.x、12.1.6 之前的 12.1.x 和 11.6.6.5.131 之前的 11.6.x ，经过身份验证的用户可以在 BIG-IP 高级 WAF 和 ASM 配置实用程序上执行权限提升。（NVD发布日期：2021-09-14）   CVE-2021-22992 5.CVSSV3评分9.8，F5 BIG-IP/BIG-IP Virtual Edition 信息公开，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3 对策略中配置了登录页面的高级 WAF/BIG-IP ASM 虚拟服务器的恶意 HTTP 响应会触发缓冲区溢出，从而导致 DoS 攻击。在某些情况下，它可以允许远程代码执行 (RCE)，从而导致系统完全受损。注意：不评估已达到软件开发结束 (EoSD) 的软件版本。（NVD发布日期：2021-03-31）   CVE-2021-22989 6.CVSSV3评分9.1，经身份验证的远程命令执行，在 BIG-IP 版本 16.0.1.1 之前的 16.0.x、15.1.2.1 之前的 15.1.x、14.1.4 之前的 14.1.x、13.1.3.6 之前的 13.1.x、12.1.5.3 之前的 12.1.x 和 12.1.5.3 之前11.6.5.3，当在配置了高级 WAF 或 BIG-IP ASM 的设备模式下运行时，TMUI在未公开的页面中存在一个经过身份验证的远程命令执行漏洞。（NVD发布日期：2021-03-31）   ASUS： CVE-2021-41435 1.CVSSV3评分9.8 ，允许远程攻击者通过发送特定的 HTTP 请求尝试任意次数的登录尝试。（NVD发布日期：2021-11-19）   CVE-2021-32030 2.CVSSV3评分9.8 ，3.0.0.4.386.42643 之前版本的 ASUS GT-AC2900 设备上的管理员应用程序在处理来自未经身份验证的用户的远程输入时允许绕过身份验证，从而导致未经授权访问管理员界面。这与 router/httpd/httpd.c 中的 handle_request 和 web_hook.o 中的 auth_check 有关。在某些情况下，攻击者提供的值“\0”与设备的默认值“\0”匹配。（NVD发布日期：2021-05-06）   CVE-2021-3229 3.CVSSV3评分7.5，ASUS RT-AX3000固件版本3.0.0.4.384_10177及更早版本的拒绝服务允许攻击者通过持续的登录错误来中断设备安装服务的使用。（NVD发布日期：2021-02-05） CVE-2021-3166 4.CVSSV3评分7.5，在ASUS DSL-N14U-B1 1.1.2.3_805设备上发现一个问题。当文件名Settings_DSL-N14U-B1时，攻击者可以上传任意文件内容作为固件更新。一旦加载这个文件，就会像真正的更新一样触发大量服务的关闭措施，导致这些服务的持续中断。（NVD发布日期：2021-01-18） CVE-2021-41436 5.CVSSV3评分7.5，ASUS ROG Rapture GT-AX11000、RT-AX3000、RT-AX55、RT-AX56U、RT-AX56U_V2、RT-AX58U、RT-AX82U、RT-AX82U GUNDAM EDITION、RT-AX86系列网页应用程序中的HTTP请求走私，0.4.386.45898 和 3.0.0.4.386.45911 之前的 RT-AX68U 允许远程未经身份验证的攻击者通过发送特制的 HTTP 数据包进行 DoS。（NVD发布日期：2021-11-19）   Tenda： CVE-2021-44352 1.CVSSV3评分9.8，通过goform/SetIpMacBind中的post请求中的list参数，Tenda AC15 V15.03.05.18_multi设备存在一个基于堆栈的缓冲区溢出漏洞。（NVD发布日期：2021-12-03）   CVE-2021-31758 2.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/goform/setportList中的堆栈缓冲区溢出漏洞允许攻击者通过一个精巧的post请求在系统上执行任意代码。（NVD发布日期：2021-05-07）   CVE-2021-31757 3.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/goform/setVLAN中的堆栈缓冲区溢出漏洞允许攻击者通过一个精编的post请求在系统上执行任意代码。（NVD发布日期：2021-05-07）   CVE-2021-31756 4.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/gofrom/setwanType中的堆栈缓冲区溢出漏洞允许攻击者通过一个精巧的post请求在系统上执行任意代码。当恶意攻击控制的输入向量被复制到堆栈变量时，就会发生这种情况。（NVD发布日期：2021-05-07）   CVE-2021-31755 5.CVSSV3评分9.8，在固件版本为02.03.01.104_CN的Tenda AC11设备上发现一个漏洞。/goform/setmac中的堆栈缓冲区溢出漏洞允许攻击者通过一个精巧的post请求在系统上执行任意代码。（NVD发布日期：2021-05-07）   CVE-2021-27707 6.CVSSV3评分9.8 ，带有固件v15.11.0.17(9502)_CN的Tenda G1和G3路由器的缓冲区溢出允许远程攻击者通过一个手工操作/“portMappingIndex”请求执行任意代码。这是因为“formDelPortMapping”函数直接将参数“portMappingIndex”无限制地传递给strcpy。（NVD发布日期：2021-04-14） （注：数据均来自CVE数据库）   （内容及封面来源： IOTsec Zone）

美国网络安全与基础设施安全局（CISA）高级官员周一表示，安全专业人员将在很长一段时间内，与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复，一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞，将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞，接管受害计算机和服务器，进而使消费电子产品和政企系统全面沦陷。 （截图 via NIST） 在周一的电话会议期间，CISA 主任 Jen Easterly 向记者透露：尽管还有许多攻击未见诸报端，但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。 该漏洞波及数以千万计的互联网联网设备，影响范围之广，使之成为 CISA 史上最糟糕的一次经历。 此外攻击者可能正在等待一个大家都感到懈怠的时机，从而让 Log4Shell 能够在未来更好地用于入侵。 （截图 via CISA） Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件，其同样归咎于开源软件中的一个漏洞，最终导致近 1.5 亿美国人的个人信息泄露。 截至目前，大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的，就是微软旗下的《我的世界》游戏服务器。 与此同时，世界各地也发生了类似的大规模攻击。比如上月，比利时国防部就证实，其系统也因 Log4j 安全漏洞而遭到了破坏。   （消息及封面来源：cnBeta）

网络安全公司Check Point Research发布了2021年的新数据，显示在他们的客户中，与2020年相比，企业网络每周受到的总体网络攻击有明显增加。研究人员将一些集中在年底的攻击增长归因于12月发现的Log4j漏洞。 Check Point在一份报告中表示，2021年是网络攻击创纪录的一年，Log4j漏洞只会让事情变得更糟。去年与2020年相比，每周对企业网络的网络攻击增加了惊人的50% ，这是一个显著的增长。网络攻击的数字在年底达到高峰，主要是由于Log4j漏洞的利用尝试导致。 新的渗透技术和规避方法使黑客更容易执行恶意意图。最令人震惊的是，一些举足轻重的社会行业涌入受攻击最多的名单。教育、政府和医疗行业进入了全球最受攻击行业的前五名。Check Point发现，就2021年而言，每周对企业网络的总体攻击比2020年增长了50%，在第四季度，他们看到每个组织每周受到的网络攻击达到了925次，创下历史新高。 Check Point在教育和研究领域的客户每周平均每个组织处理1605次攻击，这是他们看到的最高攻击量。与2020年相比，这一数字增加了75%。政府、国防、军事和通信行业也不甘落后，每个组织每周平均约有1100次攻击。当Check Point把内部数据按地区细分时，他们发现非洲大陆的组织在2021年看到了最高的攻击量，每个组织平均每周受到1582次攻击。亚太地区的组织平均每周受到1353次攻击，而拉丁美洲每周受到1118次攻击，欧洲每周受到670次攻击。北美地区排在最后，每周平均为503次。 Check Point的数字是基于其内部的ThreatCloud工具，该工具从全球数以亿计的传感器中提取数据。Check Point预计2022年的数字会增加，因为黑客继续创新并找到执行网络攻击的新方法，特别是在赎金软件方面。   （消息及封面来源：cnBeta）

时间已正式迈入 2022 年，分析公司 Chainalysis 表示在过去一年中与加密货币有关的犯罪达到了历史最高水平，非法地址获得了惊人的 140 亿美元。收到的绝大部分资金是通过诈骗、盗窃和暗网市场获得的，而另一个不断增长的被盗资金来源则是赎金。 非法资金从 2020 年的 78 亿美元增长到 2021 年的 140 亿美元，而且同期的加密货币总交易量增长了 567%。有了这些统计数据，Chainalysis 表示，非法活动在加密货币交易量中的份额从未降低过。 据该分析公司称，流行的诈骗技术类型之一是地毯式诈骗（rug pulls）。它说这种类型的骗局是相当新的，涉及开发商建立一个看似合法的加密货币项目，拿着投资者的钱，然后干脆带着钱消失了。Thodex 是去年的一个大型平台，其首席执行官在阻止资金提取后带着客户的钱消失了。 与银行业务不同的是，在银行业务中，客户享有大量的保护，免受诈骗，而持有加密货币的风险更大。首先，在大多数情况下，你必须持有私钥，如果你失去了它，你就会失去对加密货币的访问。其次，如果你真的被黑客攻击或诈骗，在大多数情况下，没有人可以取回你的资金。   （消息及封面来源：cnBeta）

作者：知道创宇404实验室 （转载本文请注明出处：https://hackernews.cc/archives/37193）   在网络安全领域，2021年注定是不平静的一年。世界各地频发网络安全事件，诸如数据泄漏、勒索软件、黑客攻击等等层出不穷，有组织、有目的的网络攻击形势愈加明显，网络安全风险持续增加。另外，我国也颁布了多项网络安全相关法律法规，为我国互联网安全领域法律法规的完善之路拉开了序幕。本文以“创宇资讯”视角出发，筛选并总结出了2021年最受关注的十大网络安全事件。   事件一：《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等网络安全相关法律施行。   《中华人民共和国数据安全法》 详情链接：https://mp.weixin.qq.com/s/OOEQqZECu-TbWBZ86_O1Dg 于2021年9月1日起施行。该部法律体现了总体国家安全观的立法目标，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确了相关主体的数据安全保护义务，这是我国首部数据安全领域的基础性立法。   《关键信息基础设施安全保护条例》 详情链接：https://mp.weixin.qq.com/s/e8lv9giBX-EXk0ZWv8cvlw 于2021年9月1日起施行。该部法律明确了关键信息基础设施的定义及认定程序；明确建立了网络安全信息共享机制；规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等可能影响或危害关键信息基础设施安全的活动。是在《网络安全法》框架下全面规范关键信息基础设施安全保护的基础性法规，是加强网络安全领域立法、完善网络安全保护法律法规体系的重要举措，为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。   《中华人民共和国个人信息保护法》 详情链接：https://mp.weixin.qq.com/s/KYH400MOTBDPgwCUCN3FCA 于2021年11月1日起施行。该部法律围绕个人信息的处理，从处理规则、跨境提供、个人权力、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则，并且针对敏感个人信息和国家机关处理强调了特别规则。其出发点是保护个人对于个人信息处理享有的权力，厘清企业等个人信息处理者应当遵循的规则和履行的义务，同时明确违法和侵权行为的法律责任。此律成为中国第一部专门规范个人信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规实都将产生直接和深远的影响。     事件二：黑客攻击美国佛罗里达水务公司，供水系统险遭“投毒” 详情链接：https://hackernews.cc/achives/37181 2月8日，一名黑客侵入了佛罗里达州奥德马尔的一家水处理厂，通过篡改可远程控制的计算机数据，将该厂水中的氢氧化钠含量调高到了极其危险的水平，让整个城市的人都差点中毒。幸运的是，水厂的运营商及时发现了问题，避免了一场灾难。此次入侵，使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗。凸显了市政基础设施面临网络攻击的风险。水务投毒事件一度引起水务行业甚至关键基础设施行业的极度恐慌。     事件三：微软Exchange Server 产品曝严重安全漏洞，FBI从被黑服务器中移除后门 详情链接：https://hackernews.cc/archives/35131 https://hackernews.cc/archives/35212
3月2日，微软发布了Microsoft Exchange Server的安全更新公告，其中包含多个Exchange Server严重安全漏洞，危害等级为“高危”。并且已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。微软第一时间修复这些漏洞，但发布的补丁并未关闭已经遭入侵的服务器的后门，其他黑客组织几天后纷纷开始效仿，纷纷针对Exchange服务器进行攻击。该安全漏洞使全球多个国家或地区的企业、政府机构、教育机构以及医疗机构等出现严重的信息泄露问题。因此，美国司法部于4月13日宣布一项由美国休斯敦法院授权的行动，批准FBI利用黑客方式删除Exchange Server后门程序。     事件四：美国保险巨头CNA Financia被勒索4000万美元赎金，破赎金最高纪录 详情链接：https://www.cnbeta.com/articles/tech/1130609.htm 今年3月底，美国最大的保险公司之一CNA Financial被勒索软件攻击，在试图恢复文件无果之后，他们开始与攻击者谈判，黑客要求的赎金高达6000万美元。最后，CNA Financial在事件发生两周后支付了4000万美元赎金，以重新获得对其网络的控制权。根据目前已公开的勒索病毒付款事件，CNA Financial以4000万美元赎金“强势登顶”，创下迄今为止已知的最大勒索软件赎金支付。   事件五：两大数据泄露事件——Facebook 5.33亿用户、领英7亿用户数据泄露，于暗网出售 详情链接：https://hackernews.cc/archives/35159 https://hackernews.cc/archives/37186 4月，据外媒《The Record》报道，来自106个国家和地区的超过5.33亿Facebook用户的个人信息在一个黑客论坛上被泄露，包括用户的个人信息，如Facebook ID、全名、地点、出生日期、电子邮件地址以及用户可能在个人资料中输入的其他任何内容。此外，数据库还包含所有用户的电话号码，一些没在网站上公开电话号码的用户也没能幸免。这批数据通过随机抽样检测验证了真实性。不久，又一起重大信息泄露事件发生，在6月22日，有黑客在暗网平台出售超过7亿领英用户数据发布一个包含100万领英用户的样本数据集。据悉，领英有7.56亿用户，也就是说有约92%的领英用户可以在该泄露的数据库中检索到个人的信息。此次事件也成为领英历史以来最大规模的数据泄漏。     事件六：美国最大成品油管道运营商Colonial Pipeline遭到网络攻击 详情链接：https://hackernews.cc/archives/35338 https://hackernews.cc/archives/35368   2021年5月7日（美国当地时间），美国最大成品油管道运营商Colonial Pipeline遭到网络攻击，此次攻击事件导致提供美国东部沿海主要城市45%燃料供应的输送油气管道系统被迫下线。极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态。最终Colonial Pipeline支付了将近500万美元的赎金以恢复被攻击的系统。本次攻击成为美国能源系统有史以来遭遇的最严重网络袭击。     事件七：SolarWinds事件背后由俄罗斯支持的Nobelium黑客瞄准全球IT供应链 详情链接：https://hackernews.cc/archives/36551 10月25日，微软威胁情报中心发布报告称，去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团自2021年5月以来一直在开展持续性的攻击活动，微软在发现这些攻击后通知了受影响的目标，还在威胁保护产品中增加了检测功能，使这些目标在未来能够发现入侵企图。自7月以来，超过600名微软客户成为目标。自2021年5月以来，有140家管理服务提供商（MSP）和云服务提供商受到攻击，至少有14家被攻破。   事件八：微软称其抵挡了有史以来最大的 DDoS 攻击 带宽负载高达 2.4 Tbps 详情链接：https://hackernews.cc/archives/36395 微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务（DDoS）攻击。这次攻击针对欧洲的一个Azure客户，比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量，这是在去年针对亚马逊网络服务的攻击。亚马逊网络服务（AWS）之前保持着最大的DDoS攻击防御的记录，也就是上面所说的2.3Tbps的尝试，超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。     事件九：核弹级漏洞log4shell席卷全球 详情链接：https://hackernews.cc/archives/37005 https://hackernews.cc/archives/37035 https://hackernews.cc/archives/37070   12月10日公开的核弹级漏洞log4shell席卷全球 。新西兰计算机紧急响应中心（CERT）、美国国家安全局、德国电信CERT、中国国家互联网应急中心（CERT/CC）等多国机构相继发出警告。全球近一半企业因为该漏洞受到了黑客的试图攻击。已证实服务器易受到漏洞攻击的公司包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、 Steam等。据统计，共有6921个应用程序都有被攻击的风险。其危害程度之高，影响范围之大，以至于不少业内人士将其形容为“无处不在的零日漏洞”。并且，Log4j 漏洞可能需要数月甚至数年时间才能妥善解决。     事件十：英国国家打击犯罪局向HIBP披露 5.85 亿个被泄露的密码 详情链接：https://hackernews.cc/archives/37087   英国国家犯罪署(NCA)与Have I Being Pwned(HIBP)网站共享了在调查期间发现的超过5.85亿个被盗密码的集合，该网站为安全漏洞数据编制索引。在美国联邦调查局FBI于5月份开始与Have I Being Pwned进行类似的合作之后，NCA现在成为第二个正式向HIBP提供被黑密码的执法机构 。  

Hackernews 编译，转载请注明出处： QNAP网络连接存储（NAS）设备的用户报告了eCh0raix勒索软件（也称为QNAPCrypt）对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度，用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingComputer 论坛用管理QNAP和Synology NAS系统的用户定期报告eCh0raix勒索软件攻击，但是在12月20日左右，才有众多用户开始披露事件。 ID勒索软件服务记录了攻击数量的激增，提交的申请在12月19日开始增加，到12月26日逐渐减少。   目前尚不清楚最初的感染媒介。一些用户说他们行事鲁莽，没有好好保护设备（例如，通过不安全的连接将其暴露在互联网上）；其他人则声称QNAP照片站中存在一个漏洞，使得攻击者有机可乘。 是的，我知道我是一个彻底的白痴，因为我把设备暴露给了这种类型的黑客，但我并没有认真对待这些。我一直以为没人想要攻击它，我要立马说我错了！ 无论攻击路径如何，eCh0raix勒索软件攻击者似乎在管理员组中创建了一个用户，这使他们能够加密NAS系统上的所有文件。 QNAP用户（其中一些用户出于业务目的使用NAS设备）在 BleepingComputer论坛说该恶意软件对图片和文档进行了加密。 除了攻击次数激增外，这场攻击中最突出的是，攻击者错误地输入了赎金通知的扩展，并使用了“.TXTT”扩展。     虽然这并不妨碍查看说明，它可能会给一些用户带来问题，用户必须用特定的程序(如记事本)指示操作系统打开文件或将其加载到上述程序中。 BleepingComputer发现，在最近的攻击中，ech0raix勒索软件的要求从0.024比特币(1200美元)到0.06比特币(3000美元)不等。有些用户别无他选，不得不付钱给黑客来恢复他们的文件。   需要注意的是，有一个免费的解密器，用于应对旧版本(2019年7月17日之前)的eCh0raix勒索软件。然而，没有免费的解决方案来解密被最新版本的恶意软件(版本1.0.5和1.0.6)锁定的数据。 使用eCh0raix/QNAPCrypt的攻击始于2019年6月，此后一直持续威胁用户。今年早些时候，QNAP提醒用户注意另一波针对带有弱密码设备的eCh0raix攻击。 用户应该遵循QNAP的建议，以确保对其NAS设备和存储的数据进行适当的保护。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Telegram已经赢得了越来越多的声誉，并且正如一些人可能认为的那样，成为了WhatsApp或Messenger的更安全的替代品–跟Signal应用一样的东西。然而，Telegram在提供额外网络安全方面的声誉被过分夸大了–这是Signal创始人Moxie Marlinspike在本周强调的东西。 更新：来自Telegram方面的回应 更新： Telegram方面回应称，Signal创始人的说法是错误的，Telegram 上发送的所有消息都经过安全加密，Telegram 云中保存的内容也经过加密。除了云聊天外，Telegram 还提供端到端加密的秘密聊天，不会在 Telegram 的服务器上留下任何痕迹。 Marlinspike对这位Signal最大的竞争对手之一提出了一些严厉的批评，它抨击了Telegram提供任何端到端加密的流行观点。Marlinspike指出，通过Telegram发送的信息会以其原始形式或纯文本存储在Telegram的服务器上，并且这家公司没有进行任何形式的加密来保护用户的私人数据。  他继续说道，在这方面，甚至Facebook的Messenger和WhatsApp都比Telegram提供了更大的隐私。据其披露，这两个由现在改名为Meta的公司运营的应用至少为通过其平台发送的所有文本信息提供端对端加密。 Telegram将所有通过该应用发送的数据存储在其云端并以完全暴露的格式存储：文本、共享媒体、联系人，所有东西对任何愿意查看的人来说基本上都是免费的。 这是一个即使按照Facebook的标准也无法接受的现实，因为Facebook在涉及到个人在线隐私时以缺乏关怀而闻名。甚至Messenger也为存储在其服务器上的数据提供最低标准的端到端加密协议。然而，任何能访问Telegram服务的人都可以直接访问整个用户的无保护数据数据库。 正如Winfuture（首次报道此事）所指出的那样，Telegram应用本质上是一个开放的窗口，它可以进入存储该平台上所有历史的服务器，使私人用户的一切可见，就像另一边的服务器运营商可见一样，需要零的额外努力才能直接访问。 重点是，如果任何人如黑客有任何兴趣窥探你在Telegram中的个人信息，那么他们可以很容易地做到这点。 因此如果有任何关于Telegram是“安全”的陈旧观念挥之不去，最好是一劳永逸地删掉它。   （消息及封面来源：cnBeta）