运行 Drupal、Joomla 或 Typo3 系统的网站需要及时打上补丁。编号为 CVE-2019-11831的漏洞位于 PHP 组件 PharStreamWrapper 中，源于一个路径遍历 bug，允许攻击者用恶意的 phar 归档替换网站的合法相同文件。Drupal 开发者将这个漏洞标记中等危险级别，尽管不是高危，网站管理员还是应该尽可能快的打上补丁。发现该漏洞的安全研究员认为该漏洞属于高危。运行 Drupal 8.7 的网站需要升级到 8.7.1，8.6 或更早版本的网站需要更新到 8.6.16，7 需要升级到 7.67。Joomla 需要升级到 3.9.6。

本周在荷兰阿姆斯特丹举行的 Hack in the Box 会议上，安全研究员 Peter Bosch 和 Trammell Hudson 演示了对英特尔 UEFI 参照实现的新攻击。这种攻击需要物理访问硬件，允许攻击者通过替换含有恶意代码的 SPI 闪存芯片，获得系统的完全的持久的访问权限。这种攻击不太可能成为普遍的危险，但显然可以被情报机构等特殊部门用于设置底层后门发动针对性的攻击。英特尔已经发布了补丁，但给 UEFI 打补丁并不是一件简单的事情。

Advanced Intelligence (AdvIntel) 公司的研究人员透露，名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外，该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问，开价超过 30 万美元。

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统，但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实，攻击他们的勒索软件是 RobbinHood。逆向工程 RobbinHood 样本的安全研究人员  Vitali Kremez 称，恶意程序在一个系统只针对文件，不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的，攻击者需要在部署前已经获得了网络的管理级别的访问权限。市长 Bernard “Jack” Young 表示， IT 部门有备份，但无法简单的替换备份。他说他不希望人们认为他们没有备份。

自称 Shadow Brokers 的神秘黑客组织在 2017 年泄漏了 NSA 黑客工具，相关漏洞利用代码随后被用于发动了 WannaCry 和 NotPetya 勒索攻击。本周一，赛门铁克的研究人员披露，其中两个 NSA 黑客工具在 Shadow Brokers 泄漏前 14 个月就已被 APT 组织用于发动攻击。研究人员表示，他们不知道该黑客组织 Buckeye aka APT3、Gothic Panda、UPS Team 和 TG-0110 是如何获得这些工具的。研究人员猜测一种可能性是黑客逆向工程了 NSA 发动攻击后留下的代码。Buckeye 被认为来自中国。

证书过期是一种常见的问题，但其影响面却可能极其广泛。此类事故频繁发生是因为安装和更新证书是一个乏味的手动过程。证书过期的现象已经有了改善，Let’s Encrypt 和 SSLMate 等 CA 开始提供证书自动更新的方法。但 Firefox 扩展停止工作的事故证明，2019 年证书过期仍然会发生。DNSCrypt 开发者称他们解决了证书过期问题，DNSCrypt 服务器过去几年没有发生任何证书过期的问题。DNSCrypt 项目设计加密 DNS 流量，阻止常见的 DNS 攻击，如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt 的解决方法是证书有效期不应该超过 24 小时，它的 dnscrypt 服务器 docker 镜像每 8 小时轮换证书。即使使用长期证书，它会在证书过期 30 天前开始发出一系列警告信息。

数百使用 Git 托管服务如 GitHub、Bitbucket 和 GitLab 的开发者的私有库遭到黑客清空，攻击者留下了索要赎金的通知，要求在十天内向钱包地址 ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA 支付 0.1 BTC 的赎金，否则会将代码公开。Git 是流行的分布式版本控制系统，开发者通常会在本地留有备份，所以删除托管服务的代码库本身意义不大，但开发者未必会愿意公开他们私有库。部分受害者承认他们使用了弱密码，忘记移除不再使用的旧访问令牌。

戴尔预装在计算机上的工具 Dell SupportAssist 被发现存在漏洞，会让笔记本电脑和 PC 暴露在远程攻击下，黑客可以利用存在漏洞的旧版本用管理员权限远程执行代码。戴尔已经释出了修复补丁，但除非用户立即更新软件否则他们会容易受到攻击。鉴于 SupportAssist 是预装的程序之一，这意味着会有大量用户受到影响。攻击依赖于引诱用户访问一个恶意网页，网页嵌入的 JavaScript 代码可以触发 SupportAssist 下载和运行代码。因为 SupportAssist 具有管理权限，攻击者将具有目标系统的完整访问权限。

cutpigsrollaroundint 写道 "2017 年的 NotPetya 网络攻击给亿滋国际（Mondelez International，前身卡夫食品，奥利奥饼干制造商）造成了超过 1 亿美元经济损失。该公司的高管以为保险公司会帮他们承担损失，然而亿滋的承保人苏黎世保险（Zurich Insurance）以保险合同中“战争除外”条款拒绝报销费用。2018 年，美国政府认定俄罗斯是 NotPetya 网络攻击幕后主使，当政府官员放肆地点名羞辱网络攻击的国家级支持者，却白送给保险公司一个拒绝的理由——“网络战”。亿滋于去年起诉了苏黎世保险。于此同时默沙东制药（Merck）起诉了20多家拒绝理赔的保险公司，NotPetya 攻击给默沙东造成 7 亿美元损失。这两个案件可能数年后才得以解决，卡内基国际和平基金会高级研究员 Ariel Levite 认为，“我们所面临的风险是，未来的网络保险可能一文不值。”这不是第一次保险公司使用战时条款免责，1970 年解放巴勒斯坦人民阵线劫持泛美航空 93 号班机，并致坠毁，法庭驳回了安泰人寿（Aetna）的企图：这是犯罪，而不是战争行为。在亿滋和默沙东的案件中，核心问题是 NotPetya 攻击是否符合“战争例外”条款，而我们至今不清楚网络站到底是什么样，事实上也没有人与亿滋“交战”，前保险巨头美国国际集团（AIG）首席运营官 Ty Sagalow 认为这是一个灰色地带。网络攻击带来的连带损害越来越普遍，“这就是今天的网络，如果你不喜欢它，你就不应该经商。”"

中国安全研究人员在 4 月 18 日披露了甲骨文刚刚修复的一个高危漏洞：Weblogic 反序列化漏洞(CVE-2018-2628)。安全研究人员是在去年 11 月将漏洞报告给了甲骨文，漏洞允许攻击者在未授权的情况下远程执行任意代码。漏洞影响 Weblogic 10.3.6.0、12.1.3.0、12.2.1.2 和 12.2.1.3。研究人员公开了漏洞细节，随后该漏洞观察到被攻击者利用挖掘数字货币，以及安装勒索软件，整个过程无需任何点击或互动。Cisco Talos 的研究人员报告，该漏洞至少从 4 月 21 日起就被活跃利用。攻击者被发现在尚未修复的计算机上安装一种新的勒索软件叫 Sodinokibi，除了加密重要的数据，该勒索软件还尝试毁掉备份，防止受害者简单利用备份恢复加密的数据。奇怪的是，攻击者随后还利用相同的漏洞安装了另一种勒索软件叫 GandCrab。

彭博社援引内部文件和知情人士的消息报道，欧洲最大的移动运营商沃达丰于 2009 年到 2011 年之间在华为的路由器和宽带网络网关等网络设备中发现了后门，利用这些后门，华为能未经授权访问沃达丰在意大利的固线网络。这一报道再次引发了争议，不仅沃达丰公开表达了异议，其他人也对彭博社的可信度再次提出了质疑。此前它的中国芯片后门报道未提供真正确凿的证据。沃达丰回应称，它发现的是安全漏洞，已经被华为修复，漏洞并不能被远程访问，只能在本地访问，因此无法被华为利用。沃达丰称，路由器漏洞是在 2011 年发现和修复的，宽带网关漏洞是在 2012 年发现和修复的。彭博社报道的正确性取决于漏洞和后门的区别，漏洞是无意的代码错误，允许未经授权访问；后门则是有意的编码去允许未经授权访问。彭博社描述的所谓后门实际上是常见的漏洞，没有任何迹象显示这是华为有意植入的后门。

本月早些时候，微软透露它的 Outlook.com、Hotmail 和 MSN 服务遭到未知攻击者入侵。现在，部分受害者声称黑客窃取了他们的加密数字货币。一位受害者提供了屏幕截图，称黑客访问了他的收件箱，重置了他的 Kraken [dot] com 账号，撤回了比特币。Kraken 是一个受欢迎的数字货币交易所。这位受害者展示了微软的通知以及黑客在其邮箱设置的转发规则：所有提到 Kraken 的邮件都被转发到了黑客控制的 Gmail 邮箱。但目前还无法确认此次入侵是否真的针对数字货币。

一家深圳公司（该公司网站基本不更新）开发的软件 iLnkP2P 被发现存在严重安全漏洞，全世界有数百万物联网设备受到影响。iLnkP2P 被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机，它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用，扫描设备上的二维码或六位数 ID。但安全研究员 Paul Marrapese 发现， iLnkP2P 设备没有提供任何验证或加密，很容易被枚举破解，允许攻击者与这些联网设备建立直接连接，绕过防火墙的限制。全世界有 200 多万物联网设备存在该漏洞，其中 39% 位于中国，19% 位于欧洲，还有 7% 在美国。几乎半数存在漏洞的设备是海芯威视生产的，它的设备 ID 使用了前缀 FFFF、GGGG、HHHH、IIII、MMMM 和 ZZZZ。

Docker 向用户发去通知：Docker Hub 的一个数据库在 4 月 25 日被发现遭到未经授权访问。在发现之后他们立即采取措施进行干预并确保网站安全。在短暂的数据库未经授权访问期间，大约 190,000 账号的敏感数据暴露，部分用户泄露了用户名、哈希密码、用于 Docker 自动构建的 Github 和 Bitbucket 令牌。Docker 已经要求受到影响的用户改变密码，撤销了 GitHub 令牌和访问密钥。Docker Hub 是一个分享预配置 Docker 镜像的仓库，预配置的镜像可以节省管理员的设置时间。类似的供应链攻击正日益猖獗。

微软在几年前公布了一项安全基线配置，其中要求 60 天强制更新密码。但在最新的 Windows 10 version 1903 和 Windows Server version 1903 的安全基线配置草案中，这一要求被放弃了。密码过期政策的用意是好的，但在现实中，它却会导致系统更不安全，因为用户不喜欢每过 60 天就要记一个新密码，因此他们通常会选择一个容易记住的弱密码，然后在后面添加 1，2，3 或 4，这种密码组合很容易被暴力破解。在 GPU 等加速计算组件的帮助下，暴力破解密码是非常迅速的。在理想情况下，多要素验证而不是频繁更换密码更有利于保护系统安全。

一位自称 L&M 的黑客逆向工程了两个 GPS 跟踪器应用 ProTrack 和 iTrack 的 Android 版本，发现所有用户在注册时会获得默认密码 123456。他随后利用 API 暴力破解了数百万用户名，然后写了一个脚本组合这些用户名和默认密码尝试登录，他成功入侵了 7000 多个 iTrack 账户和 20,000 多个 ProTrack 账户。这些账号允许他监视相关汽车的位置，对于某些型号的汽车，GPS 跟踪器应用还允许远程关闭处于停车或低于时速 12 英里行驶的汽车引擎。

高通芯片组被广泛用于智能手机和平板，但这些芯片组的一个安全漏洞将允许攻击者从被称为 Qualcomm Secure Execution Environment(QSEE)的芯片安全域窃取私钥和加密密钥。漏洞编号为 CVE-2018-11976，高通已经释出了补丁，但鉴于 Android 生态系统的现状，绝大部分智能手机和平板在很长时间里不太可能会得到修复。漏洞影响高通芯片如何处理 QSEE 中的数据。

安全公司卡巴斯基上个月披露了华硕遭遇的供应链攻击，攻击者入侵了华硕自动更新工具的服务器，利用自动更新将恶意后门推送到客户计算机里，恶意文件有华硕的证书签名。据估计，有 50 万用户通过华硕的自动更新收到了恶意后门，但攻击者只对其中 600 台计算机发动了针对性的后续攻击。这一攻击被命名为 ShadowHammer 行动。卡巴斯基研究人员的进一步分析发现，华硕不是唯一一家遭到攻击的，还有至少六家企业被黑客渗透。研究人员发现了与 ShadowHammer 行动相关的恶意程序样本，使用了相似的算法去计算 API 函数哈希，也用了有效且合法的证书签名。所有恶意程序样本都以不同理由使用了 IPHLPAPI.dll。被渗透的企业包括了僵尸游戏《Infestation: Survivor Stories》的开发商 Electronics Extreme，韩国《Point Blank》游戏开发商 Zepetto，以及 Innovative Extremist，此外还有一家游戏开发商、一家集团控股公司和一家制药公司，它们都在韩国。

现代加密系统的一个关键部分是产生足够随机的熵（或噪音），开源硬件开发者黄欣国（Andrew“bunnie”Huang）在为 betrusted 项目工作时设计了一个移动友好的雪崩噪音生成器。现有的开源噪音生成器要么太大要么功耗太高，都不适合整合到移动设备里。黄欣国称，他发现雪崩噪音生成器的原理很难找到，因此决定公布自己的设计笔记，以备未来有人想要重新设计噪音生成器时提供一个参考。

英国网络安全中心对泄漏账号的分析显示，超过 2300 万人使用密码 123456。这并非是人们不喜欢用复杂的密码，而更可能的原因是这些账号是可抛弃的，它们并不重要的需要使用复杂密码。 123456 之后使用频率最高的密码是 123456789、qwerty、password、111111、12345678、abc123、1234567、password1 和 12345。如果你是足球迷，那么“利物浦”或“切尔西”的使用频率都非常高。如果是音乐迷，那么根据使用频率 50 分乐队打败了金属乐队。最常见的虚构角色密码是“超人”（superman，333,139 人）、“火影忍者”（naruto，242,749）、“跳跳虎”（tigger，237,290）、“口袋妖怪”（pokemon，226,947）和“蝙蝠侠”（batman，203,116）。