小編來報：大后天就要放假了，各位看官，早上好。希望中秋小長假，蠕蟲們消停點，好讓各設備的安全維護人員們安安心心過好節。攝像頭又暴零日漏洞，美國西海岸前年大面積斷網事件，主角就是以攝像頭為主，組成物聯網僵尸網絡肆虐美國。這次這個品牌的攝像頭同樣有數十萬的市場占有率，如果再被黑客集中起來搞大事，搞僵尸矩陣，破壞力又將難以預計。

時隔一年之后，超過20億臺設備仍易遭受BlueBorne攻擊

2017年9月，Armis Labs的研究人員發現新型攻擊技術BlueBorne，其將目標瞄向包括運行Android、iOS、Windows和Linux在內的移動設備、桌面設備和物聯網設備。BlueBorne將這些設備暴露在新型遠程攻擊當中，甚至無需借助用戶交互和配對。實施BlueBorne攻擊的條件是目標系統須啟用藍牙功能。據研究人員透露，在繼發現藍牙漏洞BlueBorne一年之后，仍有超過20億臺設備易遭遇此類攻擊。

NUUO產品被曝0Day漏洞，黑客可遠程入侵數十萬攝像頭

美國網絡安全公司Tenable的研究人員發現，數字聯網監控系統供應商NUUO的網絡視頻錄像機軟件存在緩沖區溢出漏洞，其編號為CVE-2018-1149，研究人員將該漏洞命名為“躲貓貓”（Peekaboo）。該漏洞允許在視頻監控系統上遠程執行代碼，這意味著黑客可觀看或篡改監控視頻影像。具體而言，攻擊者可以利用這個漏洞瀏覽、篡改視頻監控記錄等信息，還可竊取機密數據，如憑證、IP地址、端口使用情況、監控設備的型號。攻擊者甚至可利用該漏洞使攝像頭等監控設備失靈。據悉，Peekaboo漏洞的影響范圍較廣，波及超過100個品牌、2500款不同型號的攝像頭，以及數十萬設備。

除此之外，該系統還存在另外一個漏洞CVE-2018-1150。這兩個漏洞影響了NUUO的NVRMini2設備（一款網絡連接存儲設備和網絡視頻錄像機）。NUUO主要提供閉路電視、監視、視頻軟件和硬件。NUUO的軟件和設備廣泛用于零售、交通、教育、政府和銀行等行業。

美眾議員提出新法案，希望解決網絡安全勞動力短缺問題

網絡安全勞動力短缺問題嚴峻，美國對該問題的關注度不減。近日，美國眾議員提出一項網絡勞動力法案，其旨在通過資助學徒計劃，解決網絡安全勞動力短缺的問題。這項新的立法將幫助在美國勞工部內設立一個資助項目，以便在競爭的基礎上向勞動力中介提供資助，其目標在于創建、實施并拓寬網絡安全學徒計劃。

NIST：無法信任或認證物聯網設備的17個原因

當美國加利福尼亞州的立法者考慮制定美國首個物聯網安全法規時，美國國家標準技術研究所（NIST）也在努力解決如何認證聯網設備的問題。美國國家標準技術研究所9月17日公布“NIST內部報告8222物聯網問題草案”，確定了17個與信任相關的技術問題，而這些問題可能會對采用物聯網產品和服務產生負面影響。NIST提出的這17個問題包括可擴展性、可預測性、缺乏認證標準、可用性問題、性能問題、可靠性問題等。

易遭遇“永恒之藍”漏洞攻擊的系統陷入無休止的感染

德國網絡安全公司Avira發出警告稱，未打補丁抵御“永恒之藍”漏洞攻擊的Windows設備陷入了無休止的感染狀態。Avira表示，微軟發布補丁一個月后，該漏洞被公之于眾，但如今仍有數十萬個系統依然容易遭受攻擊。Avira指出，未打補丁的系統仍暴露在濫用“永恒之藍”漏洞的惡意軟件攻擊當中。值得指出的是，在WannaCry病毒爆發一年多之后，仍有大量反復遭受感染的設備。據透露，未打補丁的設備數量相當多。Avira透露，受影響最嚴重的10個國家包括印度尼西亞、越南、泰國、埃及、俄羅斯、中國、菲律賓、印度和土耳其。

Alpine Linux 中存在代碼執行漏洞，影響容器

根據安全研究人員的發現，Alpine Linux中存在多個漏洞，包括一個允許執行任意代碼的漏洞。具體而言，Alpine Linux的默認包管理器APK受多個漏洞影響，其中一個最嚴重的漏洞可允許惡意包鏡像在用戶設備上執行任意代碼。目前該漏洞已被修復，且鏡像已經有了更新，建議受影響的用戶及時對鏡像進行更新。

亞馬遜調查員工數據泄露事件

據報道，經亞馬遜9月16日證實，對于部分員工涉嫌將機密客戶數據出售給第三方公司（尤其中國）的行為，該公司正在開展調查。據《據華爾街日報》報道，亞馬遜的部分員工通過中間人向該網站的商家出售內部數據和其他機密信息，從而在違反公司政策的情況下，讓這些商家獲得比競爭對手更大的優勢。據悉，這一出售機密數據的行為在中國尤其嚴重，其原因在于中國賣家數量大幅增加，且亞馬遜中國員工的薪資相對較低。亞馬遜表示，他們對濫用公司系統的行為持零容忍的態度。

白宮新政策授權美國防部長執行特定網絡行動任務

美國國家安全總統備忘錄13（NSPM 13）提出，美國總統可將某些網絡權限授予國防部長執行特定任務，以此加速網絡行動。美國國防部的網絡官員對這項政策持樂觀態度，并表示這些變化可能會在行動速度方面有所改觀。一名官員表示，根據新的政策，授權國防部長執行這些任務仍需通過跨部門協調程序，但不是通過由美國國家安全委員會主導的程序，而是國防部主導的程序。

新加坡將設立東盟-新加坡網絡安全卓越中心

新加坡副***張志賢（Teo Chee Hean）9月18日在第三屆新加坡國際網絡活動周的開幕上宣布，新加坡將設立東盟-新加坡網絡安全卓越中心，以加強東盟成員國的網絡戰略制定、立法和研究能力。該中心將擴大現有的東盟網絡能力計劃，并培訓東盟地區的國家計算機應急響應小組（CERT），并促進CERT與CERT之間進行信息開源共享。

新型XBash惡意軟件：集勒索軟件、挖礦軟件、僵尸網絡和蠕蟲的功能為一身

Palo Alto Networks的安全研究人員發現一款名為“XBash”的惡意軟件，其將目標瞄向Linux和Windows服務器。Xbash的開發人員通過python開發了這款惡意軟件，然后通過使用Pyinstaller將其轉換成了一個單獨的Linux ELF可執行程序。值得指出的是，這款惡意軟件結合了多種惡意軟件的功能，例如勒索軟件、挖礦軟件、僵尸網絡和蠕蟲。