EN

回顧:2021年度七大代表性網(wǎng)絡(luò)安全事件

發(fā)布時(shí)間:2022-01-08
瀏覽量: 8242

2021年底公開暴露的 Log4j 漏洞迅速成為該年影響力最大的安全威脅。然而,這并不是企業(yè)安全團(tuán)隊(duì)面臨的唯一難題,據(jù)身份盜竊資源中心( ITRC )的數(shù)據(jù)顯示,僅 2021 年前三季度公開報(bào)告的數(shù)據(jù)泄露事件就多達(dá) 1,291 起;Redscan 對美國國家通用漏洞數(shù)據(jù)庫( NVD )的一項(xiàng)新調(diào)研顯示, 2021 年披露的漏洞數(shù)量( 18,439 個(gè))比以往任何一年都多。更糟糕的是,其中絕大部分都可以被黑客甚至技術(shù)能力有限的攻擊者利用。

以下列出了 2021 年最具代表性的 7 起網(wǎng)絡(luò)安全事件,其中包含數(shù)據(jù)泄露、攻擊和漏洞等。

1. 震驚業(yè)界的 Log4j 漏洞

2021年12月初, Log4j 日志框架中一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞震驚了整個(gè)行業(yè),可以說,近年來很少有其他漏洞具備如此震懾力。這種擔(dān)憂源于這樣一個(gè)事實(shí),即該工具在企業(yè)運(yùn)營( OT )、軟件即服務(wù)( SaaS )和云服務(wù)提供商( CSP )環(huán)境中普遍存在,且相對容易利用。該漏洞為攻擊者提供了一種遠(yuǎn)程控制服務(wù)器、 PC 和任何其他設(shè)備的方法,包括存在日志工具的關(guān)鍵運(yùn)營( OT)和工業(yè)控制系統(tǒng)( ICS )環(huán)境中的設(shè)備。

該漏洞( CVE-2021-44228 )存在于從 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通過多種方式利用。Apache 基金會(huì)最初發(fā)布了該工具的新版本( Apache Log4j 2.15.0 )試圖解決問題,但此后不久又不得不發(fā)布另一個(gè)更新,因?yàn)榈谝粋€(gè)更新沒能完全防止拒絕服務(wù)( DoS )攻擊和數(shù)據(jù)盜竊。

截至 2021 年 12 月 17 日,暫未出現(xiàn)與此漏洞相關(guān)的重大數(shù)據(jù)泄露事件。然而,安全專家堅(jiān)信攻擊者一定會(huì)利用該漏洞,并在可預(yù)見的未來繼續(xù)這樣做,因?yàn)槠髽I(yè)很難找到易受攻擊系統(tǒng)的每一個(gè)實(shí)例并有效防范該漏洞。許多安全廠商報(bào)告了針對各種 IT 和 OT 系統(tǒng)(包括服務(wù)器、虛擬機(jī)、移動(dòng)設(shè)備、人機(jī)界面系統(tǒng)和 SCADA 設(shè)備等)的廣泛掃描活動(dòng),其中許多都涉及嘗試投幣挖掘工具、遠(yuǎn)程訪問木馬、勒索軟件和 Web shell ;涉及的惡意行為者則包括已知的出于經(jīng)濟(jì)動(dòng)機(jī)的威脅組織,以及來自伊朗和土耳其等國家支持的 APT 組織。

2. Colonial Pipeline 攻擊將勒索軟件提升至國家安全

2021 年 5 月,針對美國管道運(yùn)營商 Colonial Pipeline 的勒索軟件攻擊占據(jù)了新聞?lì)^條,此舉對美國廣大民眾造成了廣泛影響:中斷了數(shù)百萬加侖燃料的運(yùn)輸,并引發(fā)了美國東海岸大部分地區(qū)的短暫性天然氣短缺。這起事件也成功將勒索軟件提升為國家安全級(jí)別的問題,并引起了白宮的關(guān)注。事件發(fā)生幾天后,拜登總統(tǒng)發(fā)布了一項(xiàng)行政命令,要求聯(lián)邦機(jī)構(gòu)實(shí)施新的控制措施以加強(qiáng)網(wǎng)絡(luò)安全。

據(jù)悉,此次事件的原因是黑客組織使用了被盜的舊 VPN 憑據(jù)獲得了對 Colonial Pipeline 網(wǎng)絡(luò)的訪問權(quán)限。這種攻擊方法本身并非特別值得注意,但破壞本身卻是可見的、有意義的,而且許多政府官員都能親身感受到。這也促使美國兩黨和政府提高了使用可重用密碼等問題的門檻。雖說高度關(guān)注可能不會(huì)產(chǎn)生立竿見影的進(jìn)展,但它已經(jīng)推動(dòng)了國家層面對網(wǎng)絡(luò)安全的關(guān)注。

3.  Kaseya 事件將人們的注意力集中在供應(yīng)鏈風(fēng)險(xiǎn)上

2021 年 7 月初, IT 管理軟件供應(yīng)商 Kaseya 發(fā)生的安全事件,再次凸顯了企業(yè)面臨來自 IT 供應(yīng)鏈中供應(yīng)商的威脅正日益加劇。

該事件后來歸因于 REvil/Sodinokibi 勒索軟件組織的一個(gè)附屬機(jī)構(gòu),其中涉及威脅行為者利用 Kaseya 虛擬系統(tǒng)管理員( VSA )技術(shù)中的三個(gè)漏洞,而許多托管服務(wù)提供商( MSP )使用該技術(shù)來管理其客戶的網(wǎng)絡(luò)。攻擊者利用這些漏洞,使用 Kaseya VSA 在屬于 MSP 下游客戶的數(shù)千個(gè)系統(tǒng)上分發(fā)勒索軟件。

Kaseya 攻擊凸顯了威脅行為者對一次性破壞多個(gè)目標(biāo)(如軟件供應(yīng)商和服務(wù)提供商)的興趣日益濃厚。雖然這不是典型的供應(yīng)鏈攻擊——因?yàn)樗昧艘巡渴鸬?Kaseya VSA 服務(wù)器漏洞,但 MSP 向其客戶分發(fā)軟件的 Kaseya 機(jī)制是擴(kuò)大攻擊范圍和速度的關(guān)鍵。該事件促使美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局( CISA )發(fā)出多個(gè)威脅警報(bào),并為 MSP 及其客戶提供指導(dǎo)。

4.  Exchange Server 攻擊引發(fā)修補(bǔ)狂潮

2021年3月初,當(dāng)微軟針對其 Exchange Server 技術(shù)中的四個(gè)漏洞(統(tǒng)稱為“ ProxyLogon ”)發(fā)布緊急修復(fù)程序時(shí),引發(fā)了一場前所未有的修補(bǔ)狂潮。

ProxyLogon 漏洞為威脅行為者提供了一種未經(jīng)身份驗(yàn)證的遠(yuǎn)程訪問 Exchange 服務(wù)器的方法。它本質(zhì)上是一個(gè)電子版本,從企業(yè)的主要入口上移除所有訪問控制、警衛(wèi)和鎖,這樣任何人都可以進(jìn)入。一些安全廠商的調(diào)查表明,幾個(gè)威脅組織在補(bǔ)丁發(fā)布之前就已經(jīng)瞄準(zhǔn)了這些漏洞,并且在微軟披露漏洞后,許多其他組織也加入了這一行動(dòng)。攻擊數(shù)量如此之多,以至于 F-Secure 稱“ Exchange Server 被黑客入侵的速度比我們想象的要快”。

與許多其他供應(yīng)商一樣,微軟當(dāng)時(shí)也建議企業(yè)假設(shè)自己已被破壞并做出響應(yīng)。在漏洞披露后不到三周,微軟報(bào)告稱,全球約 92% 的 Exchange 服務(wù) IP 已被修補(bǔ)或緩解。但是,企業(yè)對攻擊者在修補(bǔ)之前安裝在 Exchange Server 上的 Web shell 的擔(dān)憂仍然揮之不去,促使美國司法部采取了前所未有的措施,命令 FBI 主動(dòng)從后門 Exchange Server 中刪除 Web shell 。

5.  PrintNightmare 強(qiáng)調(diào) Windows Print Spooler 技術(shù)的持續(xù)風(fēng)險(xiǎn)

很少有漏洞能比 PrintNightmare ( CVE-2021-34527 )更能反映微軟的 Windows Print Spooler 技術(shù)給企業(yè)帶來的持續(xù)風(fēng)險(xiǎn)。該漏洞于 2021 年 7 月披露,與 Spooler 服務(wù)中用于安裝打印機(jī)驅(qū)動(dòng)程序系統(tǒng)的特定功能有關(guān)。該問題影響了所有 Windows 版本,并為經(jīng)過身份驗(yàn)證的攻擊者提供了一種在任何存在漏洞的系統(tǒng)上遠(yuǎn)程執(zhí)行惡意代碼的方法。這包括關(guān)鍵的 Active Directory 管理系統(tǒng)和核心域控制器。微軟警告稱,對該漏洞的利用會(huì)導(dǎo)致環(huán)境的機(jī)密性、完整性和可用性受損。

微軟對 PrintNightmare 的披露促使 CISA 、 CERT 協(xié)調(diào)中心( CC )和其他機(jī)構(gòu)發(fā)布緊急建議,敦促企業(yè)迅速禁用關(guān)鍵系統(tǒng)上的 Print Spooler 服務(wù)。PrintNightmare 是微軟長期存在缺陷的 Print Spooler 技術(shù)中、幾個(gè)必須修補(bǔ)的缺陷中較嚴(yán)重的一個(gè)。PrintNightmare 之所以非常重要,是因?yàn)樵撀┒创嬖谟趲缀趺總€(gè) Windows 系統(tǒng)上都會(huì)安裝的“ Print Spoole ”服務(wù)中。這意味著攻擊者有一個(gè)巨大的攻擊面作為目標(biāo),而且禁用這些服務(wù)并不總是可行的,因?yàn)樾枰鼇矸奖愦蛴 ?/span>

6.  Accellion 入侵是多次破壞攻擊趨勢的例子

美國、加拿大、新加坡、荷蘭和其他國家/地區(qū)多個(gè)組織在 2021 年 2 月遭遇了嚴(yán)重的數(shù)據(jù)泄露事件,因?yàn)樗麄兪褂玫?Accellion 文件傳輸服務(wù)存在漏洞。零售企業(yè) Kroger 是最大的受害者之一,其藥房和診所員工和數(shù)百萬客戶的數(shù)據(jù)慘遭泄露。其他著名的受害者還包括眾達(dá)律師事務(wù)所、新加坡電信、華盛頓州和新西蘭儲(chǔ)備銀行。

Accellion 將該問題描述為“與其近乎過時(shí)的文件傳輸設(shè)備技術(shù)中的零日漏洞有關(guān)”,當(dāng)時(shí)許多組織正在使用該技術(shù)在其內(nèi)部和外部傳輸大型文件。安全廠商 Mandiant 的調(diào)查顯示,攻擊者使用 Accellion 技術(shù)中 4 個(gè)零日漏洞作為攻擊鏈的一部分。Mandiant 后來將這次攻擊歸因于與 Clop 勒索軟件家族和 FIN11 (一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的 APT 組織)有關(guān)聯(lián)的威脅行為者。

Digital Shadows 網(wǎng)絡(luò)威脅情報(bào)分析師 Ivan Righi 表示, Accellion 攻擊是 2021 年初的重大安全事件,因?yàn)樗故玖死账鬈浖?yīng)鏈攻擊的危險(xiǎn)性。Clop 勒索軟件團(tuán)伙能夠利用 Accellion 文件傳輸設(shè)備( FTP )軟件中的零日漏洞一次鎖定眾多企業(yè),這大大減少了攻擊者實(shí)現(xiàn)初始訪問所需的工作和精力。

7. 佛羅里達(dá)水務(wù)公司攻擊事件提醒人們注意關(guān)鍵基礎(chǔ)設(shè)施

2021 年 2 月,一名攻擊者入侵佛羅里達(dá)州奧茲馬市一家水處理廠的系統(tǒng),并試圖改變一種名為堿液的化學(xué)物質(zhì)濃度,該化學(xué)物質(zhì)用于控制水的酸度。當(dāng)入侵者試圖將堿液水平提高 111 倍時(shí)被發(fā)現(xiàn),在其造成損壞之前,很快得到了恢復(fù)。隨后對該事件的分析顯示,入侵者獲得了屬于水處理設(shè)施操作員的系統(tǒng)訪問權(quán)限,可能使用被盜的 TeamViewer 憑據(jù)遠(yuǎn)程登錄了該系統(tǒng)。

此次入侵使美國關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊面前的持續(xù)脆弱性暴露無遺,再次展現(xiàn)了入侵飲用水處理設(shè)施的監(jiān)控和數(shù)據(jù)采集( SCADA )系統(tǒng)是多么簡單的事情。該事件還促使 CISA 警告關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商,在環(huán)境中使用桌面共享軟件和過時(shí)或接近報(bào)廢軟件(如 Windows 7)的危險(xiǎn)性。



熱點(diǎn)內(nèi)容

開始試用任子行產(chǎn)品
申請?jiān)囉?/a>

20年公安服務(wù)經(jīng)驗(yàn)

7*24小時(shí)應(yīng)急響應(yīng)中心

自主知識(shí)產(chǎn)權(quán)的產(chǎn)品裝備

專家級(jí)安全服務(wù)團(tuán)隊(duì)

網(wǎng)絡(luò)空間數(shù)據(jù)治理專家

榮獲國家科學(xué)技術(shù)二等獎(jiǎng)

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號(hào)
公司微博