E安全8月11日讯  F5 Labs周三发布全球物联网威胁报告，对攻击者如何搭建僵尸网络攻击物联网设备做了调查。

目前，已投入使用的物联网（IoT）设备多达几十亿台，未来还将继续增加。Gartner预计，到2020年，超过50%的主要新流程和系统将包含物联网元素。物联网设备进入家庭和办公室的同时，企业也在面临越来越大的风险。

为了评估物联网的当前威胁状况， F5 Labs周三发布全球物联网威胁报告。

报告指出，物联网攻击2017年上半年增加280%，主要受Mirai驱动——感染物联网设备，并将设备变成“肉鸡”的恶意软件。

报告显示，83%的攻击来自西班牙托管服务提供商SoloGigabit。

先前，发起物联网攻击量最多的国家为中国，2017年上半年，中国的攻击数量骤减。这份报告指出，仅1%的攻击来自中国，这可能是因为中国清理了被感染的物联网设备。

F5 Labs的研究人员表示，现如今是时候在另一起大规模攻击发生之前采取行动。F5 Labs认为，企业需制定DDoS策略，认清企业并不总是直接的攻击目标，可能因服务提供商遭受攻击而沦为受害者。

此外，研究人员建议，企业杜绝购买、销售存在漏洞的物联网设备，避免物联网设备被重新目的化攻击企业，企业应在购买物联网设备之前进行深入研究。

报告原文下载：http://t.cn/R9ncyDC

据报道，美国法院电子司法卷宗公共存取系统PACER存在的跨站请求伪造漏洞，这个存在时间长达30年的漏洞现已被修复。黑客可利用该漏洞劫持账号，并检索受害者的民事和刑事诉讼案件卷宗。

PACER是美国法院电子司法卷宗公共存取系统，可供用户在线获取联邦上诉机构、地区和破产法院的案件和诉讼事件表信息。PACER由联邦司法机关提供，旨在通过集中式服务为用户提供途径访问法院信息。PACER主要使用对象为律师和记者，提取文件中的PDF和网页需付费10美分，每个文件至多3美元。

Free Law Project（提供法律资料、开发法律研究工具的组织）表示，攻击者利用这个跨站请求伪造漏洞获取任何访客的PACER账号，而账号信息可被用来下载PDF，给受害者带来经济损失。

研究人员表示，PACER使用Cookie存储登录凭证存在漏洞。由于这些Cookie未经安全处理，任何网站只需通过一段JavaScript代码就能调用这些Cookie，并检索访客的PACER登录详情。

研究人员发布了PoC（概念验证）证明漏洞风险并表示，PoC发布之前，该漏洞未被大肆利用。但对于PACER用户而言，未付费会影响信誉，美国法院行政管理办公室（Administrative Office of the US Courts）还会命人上门收欠款。

但更糟糕的是，PACER自上线开始（20世纪90年代）就可能存在该漏洞。Free Law Project于今年2月报告了该漏洞，本周三终于完全修复。

攻击者可利用被窃取的账号详情免费浏览文件，但研究人员曾担心登录凭证被盗可能会带来更严重的后果。