近期，国家信息安全漏洞共享平台（CNVD）收录了博通WIFI芯片远程代码执行漏洞 (CNVD-2017-14425，对应编号CVE-2017-9417，报送者命名为BroadPWN)。远程攻击者可利用漏洞在目标手机设备上执行任意代码。由于所述芯片组在移动终端设备上应用十分广泛，有可能诱发大规模攻击风险。

　　一、漏洞情况分析

　　Broadcom Corporation（博通公司）是有线和无线通信半导体供应商，其生产的Broadcom BCM43xx系列WiFi芯片广泛应用在移动终端设备中，是APPLE、HTC、LG、Google、Samsung等厂商的供应链厂商。

　　目前漏洞报告者暂未披露详细细节。根据描述，该漏洞技术成因是Broadcom Wi-Fi芯片自身的堆溢出问题，当WIFI芯片从连接的网络（一般为WIFI局域网下）接收到特定构造的长度不正确的WME（Quality-of-Service）元素时，漏洞就会被触发，导致目标设备崩溃重启，也有可能使得攻击者取得操作系统内核特权，进一步在该终端设备上执行恶意代码取得控制权。根据报告，漏洞的攻击利用方式还可直接绕过操作系统层面的数据执行保护（DEP）和地址空间随机化（ASLR）防护措施。

　　CNVD对漏洞的综合评级为“高危”。相关漏洞细节在将会在7月22日至27日的Blackhat大会上发布。

　　二、漏洞影响范围。

　　漏洞影响 Broadcom BCM43xx 系列 WiFi 芯片组。目前确认Android平台设备受到影响，暂未能明确iOS终端产品是否受影响。

　　三、漏洞修复建议。

　　苹果（Apple）官方目前没有给出关于BroadPwn漏洞的任何信息，。Google 官方已经发布了 Pixel 和 Nexus 设备的安全更新，详情请参考：https://source.android.com/security/bulletin/2017-07-01。

　　黑客利用名为“Petya”的计算机病毒对欧洲多国突然发起网络攻击，乌克兰、英国、西班牙、荷兰、丹麦等国“中招”。

　　英国《每日电讯报》称，乌克兰受伤严重，基辅的机场以及地铁、乌中央银行和部分企业遭黑客攻击导致瘫痪。乌克兰总统事务局新闻发言人表示，乌政府对这一事件“高度重视”。英国著名广告公司WPP表示，黑客使公司计算机系统崩溃。丹麦航运巨头马士基发表声明，称由于受到黑客攻击，全球多个站点和业务部门已经关闭。俄罗斯国家石油公司也表示，公司服务器遭受了“强大”攻击。

　　《纽约时报》称，目前尚不清楚这一波网络攻击来自何方，背后由谁操控。网络专家称，“Petya”与之前肆虐多国的“想哭”病毒一样，黑客通过控制电脑，勒索赎金。此轮网络攻击，恐造成全球重大经济损失。

　　勒索攻击者向韩国网络托管公司Nayana成功勒索100万美元（约合683万元），这起事件助长了其它攻击的嚣张气焰，从而引发了新一轮针对韩国公司的勒索企图。

　　 据当地媒体报道，韩国7家银行遭到勒索威胁，被要求支付近31.5万美元（约合215.4万元）的赎金，否则会遭遇DDoS攻击。这7家银行中，5家银行的名称已公开，均为韩国最大的金融机构：韩国国民银行（KB Kookmin Bank）、新韩银行（Shinhan Bank）、友利银行（Woori Bank）、韩亚银行（KEB Hana Bank）和韩国农协银行（NH Bank）。

　　“无敌舰队”黑客组织。

　　勒索信的署名为“无敌舰队”组织。该组织由来已久，于2015年首次浮出水面，被认为是与DD4BC（比特币DDoS）并肩发起勒索DDoS（RDoS）攻击的黑客组织之一。

　　虽然欧洲刑警组织逮捕了DD4BC组织背后的嫌疑人，但“无敌舰队”黑客成员从未被抓到过，随着时间的推移，这群黑客组织的战术似乎也发生了变化。

　　Nayana支付赎金或助长攻击韩国气焰。

　　上周，沉寂已久的“无敌舰队”再现江湖。就在媒体大肆报道韩国网络托管公司Nayana被成功勒索两天之后，银行收到赎金勒索要求，不过这一点也不足为奇。

　　Nayana支付的赎金是迄今为止被成功勒索的最高赎金，虽然Nayana的做法身不由己，但却让所有韩国公司成为勒索攻击的靶子，使攻击者认为许多公司愿意考虑支付大笔赎金。

　　“无敌舰队”上周向韩国多家银行发送勒索信称，该组织会于6月26日对目标银行发起DDoS攻击，并要求对方支付双倍赎金。

　　然而，截止到目前，公共域名的证据表明，攻击并未发生。尽管如此，攻击者或许不会因初次被拒就心灰意冷，如果他们真的有能力发起ProtonMail遭遇的这类DDoS攻击，韩国银行和其它公司可能会度过无比漫长的夏天。

　　美国俄亥俄州州长约翰?卡西奇的网站遭黑客入侵，当天同被黑客入侵的还有多家美国地方政府网站。

　　黑客组织在这些网站上留言支持极端组织“伊斯兰国”，并称要让美国总统唐纳德?特朗普及美国人民付出代价。

　　自称“dz团队系统”的黑客组织“攻陷”卡西奇等一众网站后，留言称“我爱‘伊斯兰国’”。

　　该组织还在所有被黑网站网页上留言，扬言要让特朗普和美国民众“血债血偿”。

　　据美国全国广播公司统计，当天仅俄亥俄州就有至少7家政府部门网站“中招”。美联社报道称，纽约州萨福克郡布鲁克黑文镇政府网站以及马里兰州霍华德郡政府网站等也未能幸免。

　　来自俄亥俄州行政事务局的汤姆霍伊特是其中一名向媒体证实本次黑客入侵事件的官员。他称本次黑客入侵事件大约发生在美国东部时间上午11时（北京时间晚上11时）。

　　“眼下所有受影响的服务器都已下线，我们正在调查黑客如何破坏这些网站。”他说，“我们还在和执法部门合作，以便更好了解到底发生了什么。”

　　“dz团队系统”自称来自阿尔及利亚，曾多次表态支持“伊斯兰国”，近年在全球范围内发起过数十起类似网络入侵。

　　美联社报道称，这次黑客入侵事件是正在不断发展的网络恐怖主义的一部分，全球许多政府和企业早已深受其害。