以色列公司 Cellebrite 的数字取证工具被专制政府广泛用于从 Android 和 iPhone 手机中提取数据，它最近加入了对 Signal 的支持。Cellebrite 的软件主要包含两部分：UFED 和Physical Analyzer，UFED 用于创建备份，而 Physical Analyzer 则从备份文件里解析文件以可读的格式展示文件，支持 Signal 意味着 Physical Analyzer 加入了对 Signal 所使用文件格式的支持。Signal 创始人 Moxie Marlinspike 获得了一个 Cellebrite 设备（据说是从卡车上掉下来恰好掉到他身前，这是不愿意透露设备来源使用的借口），对其进行分析后发现，Cellebrite 看起来一点也不在意自家软件的安全，软件存在大量可利用的漏洞，比如它捆绑的 FFmpeg DLL 是 2012 年构建的。他们找到了漏洞可以在 Cellebrite 设备上执行任意代码，Signal 将随机向应用数据内储存一些让 Cellebrite 失效的代码，该代码不仅会修改当前的 Cellebrite 报告，还会以随机方式破坏以前和未来产生的 Cellebrite 报告。Signal 还发现 Physical Analyzer 的安装程序捆绑了苹果签名的两个安装包。

OpenSSH 项目释出了 8.6。因 SHA-1 哈希算法的构造前缀碰撞攻击成本不到 5 万美元，OpenSSH 项目将默认禁用 ssh-rsa 公钥签名算法，但这并不意味着要停止使用 RSA 公钥，它仍然能配合不同算法用于签名，如 ssh-rsa 可以用 rsa-sha2-256(RSA/SHA256)、rsa-sha2-512(RSA/SHA512) 和 ssh-rsa(RSA/SHA1)签名，只有最后一个将被默认禁用。

得州的一辆特斯拉汽车撞树起火，两名男子死亡，他们没有一个人在驾驶汽车。当局称，车内有两个人，一个人在前排的乘客座位，一个人在后排的乘客座位。这辆汽车当时应该是处于自动驾驶模式，但在转弯时汽车开出了路面，撞上了一棵树，立即起火燃烧，消防员花了几个小时才扑灭火，因为电池不断的重新燃烧，他们只能打电话给特斯拉公司求助，询问如何扑灭电池上的火。

Codecov (Codecov 代表 Code Coverage，代码覆盖率，软件测试中的一种度量)发布安全警告，称它的 bash uploader 被发现从 1 月 31 日到 4 月 1 日之间包含后门，后门会导致开发者的电脑向黑客控制的服务器发送秘密的认证令牌和其它敏感数据。Codecov bash uploader 被用于发送代码覆盖率报告，部分开发项目整合了 Codecov 或其它类似的第三方服务。Codecov 称它的调查发现黑客利用 Codecov Docker 镜像创建过程中的一个错误提取出修改 Bash Uploader 脚本所需的凭证，未经许可修改了脚本。植入的后门代码将 GitHub 库位置和整个过程环境发送到远程服务器，其中包括令牌、凭证等秘密的敏感数据。利用这些敏感信息，黑客能访问私有库访问非公开的源代码，甚至可以进一步发动供应链攻击——在这些源代码中再次植入后门。Codecov 督促在此期间使用它的 bash uploader 的开发者立即撤销所有凭证和令牌。

安全公司 Forescout 和 JSOF 的研究人员在四个广泛使用的 TCP/IP 堆栈中发现了一组新漏洞，漏洞被统称为 Name:Wreck，与 DNS 的实现相关，既存在于 FreeBSD 操作系统中，也存在于西门子的工控系统 Nucleus NET 中。攻击者可利用漏洞崩溃设备将其下线或者实现远程控制，受影响的物联网设备多达上亿。所有漏洞都已有补丁修复，但受影响的设备绝大部分未必会修正。Forescout 负责研究的副总裁 Elisa Costante 说，他们真正想要做的是提高人们的意识，与社区合作，寻找方法解决它。

上周日伊朗纳坦兹核设施发生了爆炸和停电事故，以色列被认为是攻击发起者。伊朗官员承认设施内的铀浓缩离心机遭到毁坏。以色列此举旨在破坏正在进行中的伊核会谈，同时继续延缓伊朗发展核武器。为什么断电会破坏离心机？Institute for Science and International Security 的创始人 David Albright 称，电力设备遭到破坏之后恢复电力并非难事，但突然的断电如果同时破坏备用电源的话，那么部分离心机会被毁坏。离心机需要缓慢的断开电源，突然断电导致的振动能损坏离心机转子和波纹管，部分情况下可能会导致其碎裂。

通过诱骗受害者点击 Steam 邀请玩 CS:GO 游戏，黑客能控制对方的电脑。这个漏洞早在 2019 年 6 月就报告给了 Valve，但这家以扁平化管理著称的公司在修复游戏漏洞上十分迟钝。安全研究员 Florian 称，漏洞存在于 Source 引擎中，部分使用 Source 引擎的游戏已经修复了漏洞，但在 CS:GO 中该漏洞仍然存在。CS:GO 是目前 Steam 平台上同时玩家数最多的游戏，有超过百万玩家同时在线。该漏洞被列为高危，但 Valve 的反应非常缓慢，Florian 说他真的非常失望，在大部分时间里 Valve 都是完全无视他。这并非第一次 Valve 被指责对修复漏洞无动于衷。

一位印度安全研究员在 GitHub 上公开了 Chrome/Chromium 漏洞的 POC 利用代码，他并不是漏洞的发现者，而是通过逆向工程补丁重新实现漏洞利用，他的做法被一些人指责是不道德的。Rajvardhan Agarwal 称，两名安全研究员 Bruno Keith 和 Niklas Baumstark 在上周举行的 Pwn2Own 安全挑战赛上成功利用漏洞入侵 Chrome 和 Edge，赢得了 10 万美元奖金。根据规则，漏洞细节没有公开而是报告给了 Chrome 安全团队。Agarwal 在检查 Chrome 的 V8 JS 引擎源代码时注意到了修复该漏洞的补丁，这允许他通过逆向工程重新实现漏洞利用。V8 的漏洞补丁尚未整合到 Chrome 和 Edge 的正式版本中，基于 Chromium 的浏览器仍然容易受到攻击。

今年一月和二月，有黑客组织利用 Exchange Server v2013 到 2019 中的四个 0day 漏洞，访问服务器上的电邮账号并留下后门 web shell 用于后续访问。上个月，微软披露了这一安全事件，并释出了补丁修复了漏洞。但在披露之后，黑客组织增加了对尚未修补的 Exchange 服务器的攻击，有数以万计的美国机构遭到了入侵。大部分受到影响的系统管理员已经成功移除了黑客留下的后门，但还有很多人没能移除。FBI 宣布它从法庭获得授权，通过远程执行命令，帮助这部分服务器移除留下的后门。这一行动只涉及移除 web shell ，FBI 没有远程为这些 Exchange 服务器打上补丁修复漏洞，或者搜索服务器是否还被安装了其它恶意程序。FBI 表示将会根据联络信息对这些服务器发送正式的官方邮件通知，如果没有留下联络信息那么它将会向其 ISP 发去通知。

在 4 月 6 日到 8 日举行的 Pwn2Own 2021 安全挑战赛上，荷兰安全公司 Computest 的两名研究人员 Daan Keuper 和 Thijs Alkemade 演示了对 Zoom 的远程代码执行漏洞的利用，赢得了 20 万美元的奖金。漏洞利用不需要受害者的操作，只需要一次 Zoom 呼叫。漏洞相关细节没有披露，目前所知的是它是一个远程代码执行漏洞，对 Windows 和 Mac 版的 Zoom 客户端都有效，但不影响 Web 版本，未测试 iOS 和 Android 版本。这是一个 0day，Zoom 还没有修复该漏洞，该公司声明正在开发补丁。

伊朗位于地下的纳坦兹核设施周日发生停电事故，以色列媒体几乎一致报道是该国发动的网络攻击导致了停电。伊朗核问题全面协议相关方正在举行新一轮的会谈，而以色列总理内塔尼亚胡发誓要阻止伊核协议恢复。据报道内塔尼亚胡周日晚些时候向他的安全官员表达了祝贺。纳坦兹核设施最为人熟知的网络攻击是 2010 年的 Stuxnet 蠕虫攻击，这次攻击被广泛认为是美国和以色列联合发起的，Stuxnet 蠕虫破坏了核设施内的铀浓缩离心机。伊朗现在在深山内部重建了核设施。对于最新的停电事故，以色列媒体称是摩萨德干的，它们没有给出消息来源。以色列媒体与军方和情报机构的关系很紧密。

德国手机制造商 Gigaset（原西门子家庭办公通信设备部门）的更新服务提供商的服务器遭到入侵，攻击者向用户设备推送了恶意更新。这是最新一起供应链安全事故。受影响的主要是旧型号手机，包括 GS100、GS160、GS170、GS180、GS270(plus)和 GS370(plus)系列。攻击者通过预装的系统更新应用推送了恶意更新 Gem、Smart、Xiaoan、asenf、Tayase、com.yhn4621.ujm0317、com.wagd.smarter 和 com.wagd.xiaoan。Gigaset 表示它已经采取措施从被感染的设备上自动移除恶意程序。

卡巴斯基研究人员报告，勒索软件 Cring 背后的运营者利用了一个早在 2018 年就修复的 Fortinet VPN 漏洞入侵了一家德国制造商，攻击者随后展开侦察，尝试窃取储存在内存中的域管理员凭证，最终安装了勒索软件 Cring。在此过程中，为了掩饰行动攻击者还将安装程序伪装成安全软件如卡巴斯基。Cring 在安装之后传播到了一台保存生产线所需数据库的服务器，导致了位于意大利的两处生产设施关闭两天。事故响应团队利用备份恢复了大部分加密的数据。受害者没有支付任何赎金。

提供尾气排放测试的 Applus Technologies 公司遭到了恶意程序攻击，导致了康涅狄格、乔治亚、爱达荷、伊利诺伊、马萨诸塞、犹他和威斯康星等八个州的车辆检查暂停。Applus 是在 3 月 30 日遭到攻击的，公司在美国分部的 CEO Darrin Greene 表示，这类事故是很常见的，没人能幸免，对事故造成的任何不便表示歉意。Applus Technologies 没有提供恢复服务的时间表。目前 FBI 正对这起事故展开调查。

今年 1 月，Google 警告与朝鲜有关联的黑客组织对安全研究员发动了针对性攻击。为了建立信誉和联系安全研究员，黑客首先创建了安全博客和 Twitter 账号与潜在目标进行互动，然后发帖发视频声称完成了某个漏洞利用。现在，Google 再次警告，针对安全研究员的攻击在继续。同一批黑客为一个假的安全公司 SecuriElite 建立了网站和社交媒体账号，声称该公司位于土耳其，提供渗透测试、软件安全评估和漏洞利用等服务，攻击者采用的策略和此前类似。

无线通信设备制造商 Ubiquiti 在 1 月份披露了一起安全事故，称涉及到第三方云服务商，事故暴露了客户的账号凭证。但吹哨人称，这起事故比 Ubiquiti 承认的要严重得多，是“灾难级别”，该公司有意淡化事故风险级别是为了最小化对股价的影响。吹哨人称，除了客户账号泄露外，攻击者还可能访问了客户数据，以及安装在企业和家庭中的客户设备。吹哨人表示，黑客获得了 Ubiquiti 放在 AWS 云服务中的数据库的完整读写访问权限，而 AWS 就是所谓的第三方云服务商。攻击者访问了一位 Ubiquiti IT 雇员 LastPass 账号里的高权限登陆凭证，获得了所有 Ubiquiti AWS 账号的 root 管理员访问权限，此类的权限允许黑客远程访问 Ubiquiti 客户在世界各地的设备。根据 Ubiquiti 在其网站上提供的数据，该公司在全世界 200 多个国家销售了超过 8500 万部设备。Ubiquiti 的安全团队在去年 12 月发现了黑客在系统中留下的后门，在移除后门之后，黑客留下信息勒索 50 比特币以交换他们保持沉默，黑客还提供证据证明他们窃取到了该公司的源代码。Ubiquiti 没有继续联系黑客，而是靠自己发现了第二个后门。

英国智库皇家联合军种研究院(RUSI)和 BAE 系统公司发表联合报告称，勒索软件的使用正在“失控”。尽管勒索软件主要是一个刑事犯罪问题，但经济繁荣和关键基础设施可能遭受的破坏令人担忧这类恶意软件还具有国家安全方面的潜在影响。报告称，双重勒索攻击（即在加密文件的同时窃取文件然后威胁泄露文件进行二次勒索）在 2020 年造成“前所未有的”损害，去年 6 月至 10 月间，在勒索软件博客上发帖的新受害者增加 200%。2020 年，采用双重勒索手段的 16 种勒索软件的操作者共进行了 1200 次攻击，受害者分布于 63 个国家。

PHP 项目维护者 Nikita Popov 周日表示，攻击者以他和 PHP 作者 Rasmus Lerdorf 的名义向 php-src 库加入了两个恶意 commits，声称是修正文字输入错误，但实际上是植入后门实现远程代码执行。Popov 称，开发团队不是十分确定攻击是如何发生的，但线索指示 git.php.net 官方服务器很可能遭到入侵，而不是个人的 Git 账号被窃取。恶意代码中包含了一条注解 “REMOVETHIS: sold to zerodium, mid 2017”，攻击被认为与加密货币无关，Zerodium 的 CEO Chaouki Bekrar 认为攻击者是在恶搞。恶意代码已经移除，调查正在进行之中。之前拥有写访问权限的开发者现在需要在 GitHub 加入 PHP 小组。

Google 安全团队本月中旬披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。结果这个所谓的顶尖黑客组织被发现就是美国政府黑客，Google 的行动终止了政府黑客们的反恐行动。安全公司经常会堵上友好政府使用的漏洞，但此类的行动很少会公之于众。在这起事件中，部分 Google 雇员认为反恐任务不应该被披露，但另一部分 Google 雇员相信公司完全有权披露，此举旨在保护用户让互联网更安全。Google 在其发表的一系列博客中有意的剔除了与黑客相关的具体细节，他们知道黑客的身份和目标。但不清楚在公开披露前他们有没有提前通知政府。

在 Motherboard 报道白帽子黑客花了 16 美元购买短信转发服务就能获得一个人的所有短信后，美国主要移动运营商 T-Mobile、Verizon 和 AT&T 采取行动改变了短信路由的方法，阻止黑客截至目标手机的短信。运营商的行动影响所有移动生态系统中的短信供应商。在这之前，自称 Lucky225 的黑客只是花钱使用了商业短信营销服务商 Sakari 的服务，输入目标用户的手机号码，就能转发手机收到的短信。