安全研究人员从思科网站上下载了智能开关 SG250 的固件进行分析后意外发现，该固件嵌入了华为美国子公司 Futurewei Technologies 的开发者 gary.wu1(at)huawei 的证书和私钥。为什么华为雇员的证书会进入到思科的固件镜像中？研究人员询问了思科，思科进行了内部调查，给出了答复：思科的部分产品使用了一个开源包 OpenDaylight，这些证书和密钥是开源包的一部分。开发者使用证书测试 Cisco FindIT 功能，结果由于疏忽证书和密钥都包含在最终产品中了。

2017 年美国联邦贸易委员会（FTC）向旧金山联邦法院起诉台湾友讯科技（D-Link），FTC 指控 D-Link 的路由器和网络摄像头让数以千计的消费者面临被黑客攻击的风险。FTC 在起诉书中称，被告屡次未能采取合理的软件测试和防治措施保护路由器和网络摄像头免受已知的容易预防的安全漏洞，如硬编码用户凭证和命令注入漏洞。根据本周公布的和解协议（PDF），友讯科技同意实现新的安全程序，包括产品发布前的持续漏洞测试，发布后的持续监视和解决安全漏洞，自动固件更新和接受来自安全研究人员的报告。友讯科技还需要每两年接受一次独立第三方对其软件安全程序的评估。

OpenPGP 项目的两位知名开发者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg)过去一周成为证书中毒攻击的受害者。未知攻击者利用 OpenPGP 协议本身的缺陷给 rjh 和 dkg 的 OpenPGP 证书下毒。导入中毒版证书会破坏存在缺陷的 OpenPGP。中毒证书已经存在于 SKS Keyserver Network 中，没有理由认为攻击者在对两个证书下毒后就停止攻击。dkg 称 Tor 项目的多个证书也遭到攻击。这一攻击无法在短期内被 SKS keyserver 或 OpenPGP Working Group 减轻影响，未来发布的 OpenPGP 将会包含一些削弱攻击的方法，但目前没有时间表。权宜之计是不要从 SKS Keyserver Network 提取数据。Keyserver 使用的软件是一名研究员使用 OCaml 语言为自己的博士论文开发的，社区缺乏理解其算法或该语言的人才。软件没人维护，也没有人有资格去修改代码。

今年五月，ProPublica 披露，两家提供勒索软件解决方案的数据恢复公司被发现是在欺骗受害者，他们所谓的解决方案其实就是支付赎金然后向受害者收取更多的费用。现在，又一家数据恢复公司被发现只是向勒索者支付赎金。安全研究员 Fabian Wosar 设了一个圈套，苏格兰数据恢复公司 Red Mosquito Data Recovery 被发现该公司所谓的数据恢复也只是和勒索者协商支付金额。而他既扮演了勒索软件的受害者又扮演了发动攻击的黑客，因此能看到这家公司在几分钟内就开始联系黑客谈赎金。他说这些人前一套背后一套的公司让勒索攻击日益兴旺。Red Mosquito 向客户收取了四倍于实际赎金的费用。在被曝光之后，它还从网站上删除了部分声明，包括将“诚实免费的建议”改为“免费的建议”。

WireGuard 是一种新兴的 VPN 实现，比广泛使用的 OpenVPN 和 IPSec 速度更快、攻击面更小，配置更简单。它已经支持 Linux，Android、BSD 和 macOS，但 Windows 长期以来一直没有支持。原因是 WireGuard 作者 Jason Donenfeld 不想使用 OpenVPN OpenTAP 网卡代码，他也不喜欢微软内置的 VPN API。因此支持 Windows 平台的第一步是开发更简单的虚拟适配器，它不仅可以被 WireGuard 使用，也可以被其它项目使用。这就是 Wintun。WireGuard 最近释出了 Windows 的早期预览版，Donenfeld  称之为 pre-alpha，称其功能还不完整。但测试显示，WireGuard on Window 预览版已经相当完整了。Donenfeld 承认他之所以称其为 pre-alpha 的一个理由是为了避免还没有准备好之前媒体记者就来写报道。

Google 本月初披露了一起 Android 供应链攻击，称一家供应商在数百万台设备上预装了 Triada 恶意程序去展示广告。那么 Triada 是谁开发的呢？Google 称供应商使用了野火（Yehuo 或 Blazefire）这个名字。Krebsonsecurity 对这个名字以及相关域名，域名注册邮箱进行了一番跟踪，认为 Triada 与上海野火网络科技有限公司有关，该公司的 CEO 叫楚达。公司域名 blazefire.com 的注册邮箱是 tosaka1027@gmail.com，同一邮箱被用于注册了至少 24 个域名，至少 7 个域名被用于传播 Android 恶意程序，其中两个域名被用于传播 Triada，另外五个被用于传播 Hummer 木马。Brian Krebs 称 Google 拒绝置评，而野火网络则没有回应。

一种新的恶意程序正通过破坏物联网设备的固件使其停止工作，类似 2017 年破坏数百万设备的 BrickerBot 恶意程序。该恶意程序被称为 Silex，它通过抹掉物联网设备的存储、防火墙规则和网络配置让其停止工作，要恢复设备受害者需要手动重新安装固件，对大多数设备拥有者来说太复杂了。Akamai 研究员 Larry Cashdollar 称，恶意程序利用已知的物联网设备登录凭证登录系统，然后调用 fdisk -l 显示所有硬盘分区，向所有分区写入随机数据。它还会删除网络配置，运行 rm -rf / 删除它错过的数据。另一名安全研究员 Ankit Anubhav 称该恶意程序是化名 Light Leafon 的 14 岁少年写的。

安全公司 Cybereason 报告称，在长达七年的间谍行动中，黑客入侵了全球数十家电信公司窃取了大量数据。调查人员表示，攻击者入侵了 30 多个国家的电信公司，旨在收集政府、执法机关和政治相关人员的信息。黑客使用的工具被认为可以联系到中国。中国外交部发布人表示对报告不知情，称中国不允许任何人在其领土或利用其基础设施从事此类活动。Cybereason 称，在一次案例中，攻击者入侵了目标的整个活动目录，访问了该机构所有人的用户名和密码。他们还获得了大量个人数据，包括账单信息和通话记录。黑客使用了多个工具曾被中国黑客组织 APT10 使用。

荷兰皇家电信公司的一次严通信故障导致荷兰紧急电话号码周一停止工作超过三个小时，迫使警方和其他紧急服务采用替代方案。故障发生在 下午 4 点左右（1400 GMT），到晚上 7 点 40 分（1740 GMT）左右恢复。荷兰紧急服务迅速在社交网络上公布了新的联系号码，并通过短信推送给手机。警方还派遣警员到街头巡逻，帮助需要应急服务的人民。当局建议寻求帮助的公民直接去医院或警察局或消防站。事故原因目前还不清楚，荷兰皇家电信表示看起来不是黑客攻击。

数百万台戴尔电脑预装的软件 SupportAssist 曝出了一个严重的安全漏洞，漏洞细节没有披露，只是表示远程攻击者可以利用该漏洞完全控制受影响的机器。SupportAssist 由 PC Doctor 开发，用于主动监视机器，自动检测故障并通报戴尔。受影响的版本是 Dell SupportAssist for Business PCs version 2.0 和 Dell SupportAssist for Home PCs version 3.2.1 以及所有旧版本，戴尔建议客户尽可能快的更新到新版本 v2.0.1 或 v3.2.2。

美国司法部监察长办公室发表报告称，去年黑客利用 Raspberry Pi 入侵了 JPL 的网络。事故发生在 2018 年 4 月，JPL 的某位出于未知目的把一个 Raspberry Pi 连接到网络中，这个单板电脑与外界互联网的网络连接没有经过过滤，成为了黑客入侵 JPL 网络的立足点。黑客在 JPL 网络中窃取了 500MB 载人太空飞行数据。这些数据对于敌对国家非常有价值。这还不是最糟糕的，攻击者还通过 JPL 的网络访问了 NASA 的敏感系统如深空网络 Deep Space Network。入侵导致 NASA 约翰逊太空中心切断了与 JPL 的网络连接。双方直到 2018 年 11 月才恢复连接，但部分连接仍然受到限制。

过去两年曝出的硬件漏洞如 Spectre、Meltdown、Rowhammer 和 Rambleed 能通过猜测和边信道去窃取储存在内存中的密钥。现在，流行的网络传输加密协议 SSH 引入了抵御此类漏洞的功能，保护储存在内存中的密钥。新的改变主要是当私钥未被使用时用对称密钥加密，而对称密钥则源自于大的随机数构成的 prekey。在尝试破解被保护的私钥前，攻击者必须首先高精度的恢复整个 prekey，目前的边信道都存在较大的误码率，使得恢复 prekey 变得不可能。

5 月 29 日，佛罗里达 Riviera City 的计算机系统被勒索软件锁定，三周之后官员认为没有其它方法恢复文件，市议会以 5 比 0 投票同意向勒索者支付 60 万美元赎金。勒索软件是通过钓鱼邮件感染的，警方的工作人员打开了钓鱼邮件，向城市网络释放了勒索软件。勒索软件随后锁定了文件，切断了绝大部分城市服务，911 紧急服务除外，但也受到了影响。最初市政府没有计划向犯罪分子支付赎金，但在发现数据没有正确备份之后，他们没有选择余地了。

Firefox 刚刚修复的 0day 漏洞被用于攻击 Coinbase 雇员。Coinbase 安全团队的 Philip Martin 称，攻击者组合利用了两个 0day 漏洞，其一是远程代码执行漏洞，其二是沙盒逃脱漏洞。远程代码执行漏洞是 Google Project Zero 安全团队的研究员 Samuel Groß 发现的，他称自己在 4 月 15 日向 Mozilla 报告了这个漏洞。不清楚攻击者是从什么地方获知漏洞细节的，可能是独立发现，也可能是从内部人士获得了信息，或者可能是入侵了 Mozilla 雇员账户。针对 Coinbase 的攻击如果成功的话可能会被用于窃取该交易所的资金，Martin 称没有证据显示漏洞利用针对了 Coinbase 的客户。Mozilla 紧急释出了两次安全更新修复了这两个漏洞。

三星的 Twitter 支持账号 Samsung Support USA 发表短视频建议客户定期对智能电视进行杀毒扫描，以防止恶意软件攻击。三星后来删除了帖子，它在一份独立声明中称，该公司对安全十分重视，其产品和服务在设计时就将安全铭记于心。三星说它的帖子可能会令人产生困惑，它想澄清的是这只是向客户传达智能电视的一项功能。专家对此认为三星的建议没什么意义，是浪费时间，因为没多少恶意程序会去攻击电视。

Netflix 工程师在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关，其中最严重的漏洞绰号为 SACK Panic，允许远程对 Linux 内核触发内核崩溃。SACK Panic 漏洞编号 CVE-2019-11477，影响 2.6.29 以上版本，漏洞补丁已经发布，一个权宜的修复方法是将 /proc/sys/net/ipv4/tcp_sack 设为 0。

WireGuard 作者 Jason Donenfeld 宣布发布首个 Windows 测试版本。他称这个版本是 pre-alpha，也就是软件还不完整，很多安全相关的功能还没有完成，性能也没有优化。但它已经有了足够的功能，释出这个版本主要是测试和听取反馈。WireGuard 是一种新兴的 VPN 实现，配置比 OpenVPN 等更简单。它已经支持 Linux，Android、BSD 和 macOS。

安全公司 Dragos 的研究人员报告，至少两次攻击工业基础设施的黑客组织正在积极侦查美国电网。该黑客组织被 Dragos 命名为 Xenotime，该组织使用恶意程序关闭生产流程或让 SIS 控制的机器工作在不安全的状态下。研究人员报告，Xenotime 正对美国和其它地区的电网公司进行网络扫描和侦查活动。目前还没有证据显示这些电力公司已经遭到了入侵。Xenotime 被认为与俄罗斯有关联，安全公司 FireEye 此前发表报告称攻击者部署的恶意程序包含的信息指向了俄罗斯政府研究机构化学和力学中央科学研究院(CNIIHM)。

欧盟正准备应对网络安全方面的失误。此前发生了多起泄露事件，包括欧盟驻莫斯科使团的大量外交电文泄密和疑似遭黑客攻击。这突显出人们越来越担心，欧盟机构未能跟上愈演愈烈的信息安全威胁，尤其是考虑到作为一个由 28 个主权国家组成的网络，欧盟存在的广泛安全漏洞。一名高级外交官表示，据称发生在莫斯科的侵入事件本月曝光，引发有关欧盟电子 “安全文化” 的 “严肃问题”。这位官员指出，“在一个欧盟及其成员国在网络空间不断受到攻击的世界里…… 我们需要变得更加内行，提高安全保障水平。”

Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735，Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的 modelines 功能中，该功能允许用户指定窗口大小和其它定制选项，modelines 限制了沙盒内可用的指令，但安全研究员 Armin Razmjou 发现 source! 指令会绕过这一保护。因此如果用户打开一个恶意文本文件，攻击者可以控制计算机。漏洞利用需要编辑器启用 modelines，部分 Linux 发行版默认启用了该功能，而苹果的 macOS 没有默认启用。