當今社會物聯網裝置已經逐步滲透到人們生產生活的方方面面，為人們及時瞭解自己周圍環境以及輔助日常工作帶來便利。但隨著互聯緊密度的增高，物聯網裝置的安全性問題也逐漸影響到人們的正常生活，甚至生命安全，物聯網裝置安全不容小覷。 以下為近日的物聯網安全新聞內容。

VPNFilter惡意軟體突襲了烏克蘭的關鍵基礎設施

安全研究人員在烏克蘭的第聶伯羅彼得羅夫斯克市（Dnipropetrovsk）Aulska氯氣站的工控系統中檢測到了這款惡意軟體，而該組織是烏克蘭國內的重要基礎設施之一，因為它主要負責向烏克蘭境內的汙水處理廠提供用於清潔水處理的氯原料。該惡意軟體主要針對的是工控系統中的技術處理流程以及安全保護系統，但是烏克蘭安全域性表示，他們的安全專家迅速檢測到了VPNFilter的存在，並遮蔽了它想要嘗試進行的惡意操作。SBU表示，此次攻擊如果成功的話，將會讓Aulska氯氣站的工控系統終止執行，並讓受影響的系統發生崩潰，甚至還有可能對裝置造成物理損害，從而導致“災難性”的事件發生。安全研究人員認為，此次攻擊的主要目標很可能是為了破壞該基礎設施的正常運作。

詳文閱讀：

http://www.freebuf.com/news/177669.html

西門子EN100通訊模組漏洞導致SIPROTEC繼電器遭受DoS攻擊影響

西門子已告知客戶，由於EN100通訊模組存在一些漏洞，該公司的一些SIPROTEC保護繼電器遭受拒絕服務（DoS）攻擊。

SIPROTEC裝置為變電站提供控制，保護，測量和自動化功能。這些產品使用EN100乙太網模組，用於IEC 61850，PROFINET IO，Modbus，DNP3和IEC 104通訊。

專注於ICS和物聯網安全的獨立專家組ScadaX的研究人員發現EN100模組和SIPROTEC 5繼電器受到兩個DoS漏洞的影響，這些漏洞可以通過將特製資料包傳送到目標裝置的TCP埠102來利用。

利用這些缺陷會導致裝置的網路功能進入DoS狀態，西門子稱這會破壞系統的可用性。需要手動干預才能恢復受影響的服務。

詳文閱讀：

https://www.securityweek.com/flaws-expose-siemens-protection-relays-dos-attacks

小米路由器HD(R3D)爆出遠端程式碼執行漏洞CVE-2018-14060

近日，小米路由器HD(R3D)上爆出遠端程式碼執行漏洞，CVE編號CVE-2018-14060，CVE-2018-14060漏洞資訊釋出組織釋出預警通告。

CVE-2018-14060漏洞描述

在2.26.4裝置之前，小米R3D上的/ cgi-bin / luci / api / misystem / set_router_wifiap中的AP模式設定功能中的OS命令注入允許攻擊者通過精心製作的JSON資料執行任何命令。

詳文閱讀：

http://toutiao.secjia.com/article/page?topid=104498

紐約市9家B&BHG餐廳POS系統感染，致顧客支付卡資料洩露

據多家國外媒體報道，B&BHG酒店集團（B＆B Hospitality Group）目前已經被證實成為了另一家資料洩露事件受害者企業。該集團在紐約市運營的9家餐廳所配備的銷售終端（POS）被發現感染了惡意軟體。

初步調查結果顯示，此次黑客入侵發生在2017年3月1日至2018年5月8日之間，受影響的B&BHG餐廳包括Del Posto、Babbo、Casa Mono、Becco、Otto Enoteca e Pizzeria、Esca、Lupa、Tarry和Felidia。黑客可能已經偷走了支付卡號碼、持卡人姓名、支付卡有效日期、內部驗證碼以及其他一些付款資訊。

詳文閱讀：

https://www.easyaq.com/news/1681327550.shtml

研究人員對車載導航系統成功發動 GPS 欺騙攻擊

研究人員開發了能近實時工作的演算法，使用了一個售價約 223 美元的便捷式 GPS 欺騙裝置，該裝置可以很容易安裝在目標汽車或距離目標汽車最遠 50 米的尾隨汽車內。研究人員稱，演算法允許攻擊者選擇一個誘騙受害者的區域，能向目標汽車傳送偽造的 GPS 輸入訊號，在地圖上觸發導航指令和路線顯示。如果受害者跟隨指令，那麼汽車將會行駛到錯誤的路線或地點。研究人員在中國和美國實地測試了他們的演算法，40 名參與者中有 38 名跟著導航去了錯誤的地點。研究人員認為這種方法能攻擊任何啟用 GPS 的公路導航系統。

詳文閱讀：

https://www.solidot.org/story?sid=57231