近日，darkreading網(wǎng)站刊登了一篇文章，盤點(diǎn)了2021年最具影響力的七起網(wǎng)絡(luò)安全事件，現(xiàn)摘譯如下，以供讀者參考。

從今年的漏洞和攻擊中可以學(xué)到很多。

(圖片來(lái)源于darkreading)

12月10日公開的Log4j漏洞迅速成為2021年最重要的安全威脅之一。但是，到目前為止，這并不是安全團(tuán)隊(duì)全年必須努力解決的唯一問題。與每年一樣，2021年也發(fā)生了影響許多組織的其他大數(shù)據(jù)泄露和安全事件。

根據(jù)身份盜竊資源中心(ITRC)的數(shù)據(jù)，截至9月30日，其公開報(bào)告了 1,291起違規(guī)事件。這一數(shù)字已經(jīng)比2020年全年披露的1,108起違規(guī)事件高出17%。如果這種趨勢(shì)繼續(xù)下去，2021年可能會(huì)打破2017年報(bào)告的 1,529起違規(guī)記錄。但違規(guī)并不是唯一的問題。Redscan對(duì)美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)(NVD) 的一項(xiàng)新分析顯示，今年迄今披露的漏洞數(shù)量(18,439個(gè))比以往任何一年都多。Redscan發(fā)現(xiàn)，其中十分之九可以被黑客或技術(shù)能力有限的攻擊者利用。

對(duì)于每天保護(hù)組織免受威脅的安全團(tuán)隊(duì)來(lái)說(shuō)，這些統(tǒng)計(jì)數(shù)據(jù)不太出人意料。但即便如此，這些數(shù)據(jù)還是反映了組織在2021年面臨的挑戰(zhàn)——毫無(wú)疑問，明年也將繼續(xù)面臨。

以下列出了2021年最具影響力的七起網(wǎng)絡(luò)安全事件。

震驚業(yè)界的Log4j漏洞

近來(lái)，Log4j日志記錄框架中的一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞震撼了整個(gè)行業(yè)。這種擔(dān)憂源于這樣一個(gè)事實(shí)，即該工具在企業(yè)、運(yùn)營(yíng)技術(shù) (OT)、軟件即服務(wù) (SaaS) 和云服務(wù)提供商 (CSP) 環(huán)境中普遍使用，而且相對(duì)容易利用。該漏洞為攻擊者提供了一種遠(yuǎn)程控制服務(wù)器、PC和任何其他設(shè)備的方法，包括存在日志工具的關(guān)鍵OT和工業(yè)控制系統(tǒng) (ICS) 環(huán)境中的設(shè)備。

該漏洞(CVE-2021-44228) 存在于Log4j 2.0-beta9到Log4j 2.14.1版本中，可以通過多種方式利用。Apache基金會(huì)最初發(fā)布了該工具的新版本 (Apache Log4j 2.15.0) 來(lái)解決該問題，但此后不得不發(fā)布另一個(gè)更新，因?yàn)榈谝粋€(gè)更新沒有完全防止拒絕服務(wù) (DoS) 攻擊和數(shù)據(jù)盜竊。

截至12月17日，沒有公開報(bào)告的與該漏洞相關(guān)的重大數(shù)據(jù)泄露。然而，安全專家毫不懷疑攻擊者會(huì)利用該漏洞，因?yàn)榻M織很難找到易受攻擊工具的每一個(gè)實(shí)例并防范該漏洞。

許多安全供應(yīng)商報(bào)告了針對(duì)各種IT和OT系統(tǒng)的廣泛掃描活動(dòng)，包括服務(wù)器、虛擬機(jī)、移動(dòng)設(shè)備、人機(jī)界面 (HMI) 系統(tǒng)和SCADA設(shè)備。許多掃描活動(dòng)都涉及嘗試投幣挖掘工具、遠(yuǎn)程訪問特洛伊木馬、勒索軟件和 Web shell;其中包括已知的出于經(jīng)濟(jì)動(dòng)機(jī)的威脅組織。

科洛尼爾管道公司遇襲將勒索軟件提升為國(guó)家安全問題

5月份，對(duì)美國(guó)管道運(yùn)營(yíng)商科洛尼爾管道公司(Colonial Pipeline) 的勒索軟件攻擊，在新聞中占據(jù)了頭條;因?yàn)樗鼘?duì)美國(guó)民眾產(chǎn)生了廣泛的影響。

由后來(lái)被確認(rèn)為總部位于俄羅斯、名為DarkSide(黑暗面)的組織發(fā)起的這次襲擊，導(dǎo)致科洛尼爾公司關(guān)閉了其5,500英里的管道，這是其歷史上的第一次。此舉中斷了數(shù)百萬(wàn)加侖燃料的運(yùn)輸，并引發(fā)了美國(guó)東海岸大部分地區(qū)的暫時(shí)天然氣短缺。這次事件的影響將勒索軟件提升為國(guó)家安全級(jí)別的問題，并引發(fā)了白宮的反應(yīng)。事件發(fā)生幾天后，拜登總統(tǒng)發(fā)布了一項(xiàng)行政命令，要求聯(lián)邦機(jī)構(gòu)實(shí)施新的控制措施以加強(qiáng)網(wǎng)絡(luò)安全。

DarkSide使用被盜的舊虛擬專用網(wǎng)憑據(jù)獲得了對(duì)科洛尼爾管道公司網(wǎng)絡(luò)的訪問權(quán)限。SANS研究所新興安全趨勢(shì)主管約翰·佩斯卡托 (John Pescatore) 說(shuō)，攻擊方法本身并不是特別值得注意，但破壞本身“是可見的、有意義的，而且許多政府官員都能親身感受到。”他說(shuō)。

Kaseya事件使人們(再次)將注意力集中在供應(yīng)鏈風(fēng)險(xiǎn)上

IT管理軟件供應(yīng)商Kaseya 7 月初發(fā)生的安全事件，再次凸顯了組織面臨來(lái)自軟件供應(yīng)商和IT供應(yīng)鏈中其他供應(yīng)商的日益嚴(yán)重的威脅。

該事件后來(lái)歸因于REvil/Sodinokibi 勒索軟件組織的一個(gè)附屬機(jī)構(gòu)，其中涉及威脅行為者利用Kaseya的虛擬系統(tǒng)管理員 (VSA) 技術(shù)中的三個(gè)漏洞，而許多托管服務(wù)提供商 (MSP) 使用該技術(shù)來(lái)管理其客戶的網(wǎng)絡(luò)。攻擊者利用這些漏洞，使用Kaseya VSA在屬于MSP下游客戶的數(shù)千個(gè)系統(tǒng)上分發(fā)勒索軟件。

Huntress Labs的一項(xiàng)調(diào)查顯示，攻擊者在最初的利用活動(dòng)之后不到兩個(gè)小時(shí)，就在屬于多個(gè)MSP的眾多公司的系統(tǒng)上安裝了勒索軟件。

該事件促使美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)出多個(gè)威脅警報(bào)，并為MSP及其客戶提供指導(dǎo)。

Kaseya攻擊凸顯了威脅行為者對(duì)一次性破壞/危及許多目標(biāo)(如軟件供應(yīng)商和服務(wù)提供商)的興趣日益增長(zhǎng)。雖然此類攻擊已持續(xù)多年，但 太陽(yáng)風(fēng)(SolarWinds)事件和Kaseya事件，凸顯了威脅日益嚴(yán)重。

Vectra AI首席技術(shù)官奧立佛(Oliver Tavakoli)表示：“Kaseya 攻擊雖然不是典型的供應(yīng)鏈攻擊——因?yàn)樗昧艘巡渴鸬腒aseya VSA 服務(wù)器的漏洞——但MSP向其客戶分發(fā)軟件的Kaseya機(jī)制是攻擊的大范圍和快速的關(guān)鍵。”

Exchange Server (ProxyLogon) 攻擊引發(fā)修補(bǔ)狂潮

3月初，當(dāng)微軟針對(duì)其Exchange Server技術(shù)中的四個(gè)漏洞(統(tǒng)稱為 ProxyLogon)發(fā)布緊急修復(fù)程序時(shí)，引發(fā)了一場(chǎng)前所未有的修補(bǔ)狂潮。

一些安全供應(yīng)商的后續(xù)調(diào)查表明，幾個(gè)威脅組織在補(bǔ)丁發(fā)布之前就已經(jīng)瞄準(zhǔn)了這些漏洞，并且在微軟披露漏洞后，許多其他組織也加入了這一行動(dòng)。攻擊數(shù)量如此之多，以至于F-Secure曾將全球易受攻擊的 Exchange Server描述為“被黑客入侵的速度比我們想象的要快”。

當(dāng)鏈接在一起時(shí)，ProxyLogon缺陷為威脅行為者提供了一種未經(jīng)身份驗(yàn)證的遠(yuǎn)程訪問Exchange服務(wù)器的方法。

“它本質(zhì)上是一個(gè)電子版本，從公司的主要入口上移除所有門禁、警衛(wèi)和鎖，這樣任何人都可以走進(jìn)去，”F-Secure 當(dāng)時(shí)指出。

在漏洞披露后不到三周，微軟報(bào)告稱，全球約92%的Exchange服務(wù)IP已被修補(bǔ)或緩解。但是，對(duì)攻擊者在修補(bǔ)之前安裝在Exchange Server上的 Web shell的擔(dān)憂揮之不去，促使美國(guó)司法部采取前所未有的措施，命令FBI主動(dòng)從后門Exchange Server中刪除 Web shell。

SANS的佩斯卡托(Pescatore)說(shuō)，Exchange Server的缺陷在很多方面都是壞消息。與Exchange Online相比，微軟在針對(duì)本地安裝進(jìn)行修復(fù)方面的速度相對(duì)較慢，這使得問題更加嚴(yán)重。“與開發(fā)適用于不同的本地環(huán)境的修復(fù)程序相比，SaaS提供商能夠更快地屏蔽其服務(wù)中的代碼弱點(diǎn)，是有原因的，”佩斯卡托指出。

PrintNightmare 強(qiáng)調(diào)了 Windows Print Spooler技術(shù)的持續(xù)風(fēng)險(xiǎn)

很少有漏洞能比PrintNightmare(CVE-2021-34527)更突出微軟的Windows Print Spooler技術(shù)給企業(yè)帶來(lái)的持續(xù)風(fēng)險(xiǎn)。該漏洞于7月披露，與Spooler服務(wù)中用于安裝打印機(jī)驅(qū)動(dòng)程序系統(tǒng)的特定功能有關(guān)。該問題影響了所有Windows版本，并為經(jīng)過身份驗(yàn)證的攻擊者提供了一種在存在漏洞的任何系統(tǒng)上遠(yuǎn)程執(zhí)行惡意代碼的方法。這包括關(guān)鍵的Active Directory管理系統(tǒng)和核心域控制器。微軟警告稱，對(duì)該漏洞的利用，會(huì)導(dǎo)致環(huán)境的機(jī)密性、完整性和可用性受到損失。

微軟對(duì)PrintNightmare的披露促使CISA、CERT協(xié)調(diào)中心 (CC) 和其他機(jī)構(gòu)發(fā)出緊急建議，敦促組織迅速禁用關(guān)鍵系統(tǒng)上的Print Spooler 服務(wù)。最初的警報(bào)提到了微軟在6月份針對(duì)Print Spooler中幾乎相同的漏洞發(fā)布的補(bǔ)丁，稱該補(bǔ)丁對(duì)PrintNightmare無(wú)效。微軟后來(lái)澄清說(shuō)，雖然PrintNightmare與6月份的缺陷相似，但它需要單獨(dú)的補(bǔ)丁。

PrintNightmare是今年微軟長(zhǎng)期存在缺陷的Print Spooler 技術(shù)中、幾個(gè)必須修補(bǔ)的缺陷中最嚴(yán)重的一個(gè)。

“PrintNightmare變得很重要，因?yàn)樵撀┒创嬖谟趲缀趺總€(gè) Windows系統(tǒng)上都安裝的‘Print Spoole’服務(wù)中，”Coalfire技術(shù)和企業(yè)副總裁安德魯(Andrew Barratt) 說(shuō)。他還補(bǔ)充說(shuō)，這意味著攻擊者有一個(gè)巨大的攻擊面作為目標(biāo)。“禁用這些服務(wù)并不總是可行的，因?yàn)樾枰鼇?lái)促進(jìn)打印”。

Accellion入侵是一次破壞/多次破壞攻擊趨勢(shì)的一個(gè)例子

美國(guó)、加拿大、新加坡、荷蘭和其他國(guó)家/地區(qū)的多個(gè)組織在2月份遭遇了嚴(yán)重的數(shù)據(jù)泄露，因?yàn)樗麄兪褂玫膩?lái)自Accellion的文件傳輸服務(wù)存在漏洞。零售巨頭克羅格是最大的受害者之一，其藥房和診所服務(wù)的員工和數(shù)百萬(wàn)客戶的數(shù)據(jù)被暴露。其他著名的受害者包括眾達(dá)律師事務(wù)所、新加坡電信、華盛頓州和新西蘭儲(chǔ)備銀行。

Accellion將這個(gè)問題描述為與其近乎過時(shí)的文件傳輸設(shè)備技術(shù)中的零日漏洞有關(guān)，當(dāng)時(shí)許多組織正在使用該技術(shù)在其內(nèi)部和外部傳輸大型文件。安全供應(yīng)商Mandiant表示，其調(diào)查顯示，攻擊者使用了 Accellion 技術(shù)中多達(dá)四個(gè)零日漏洞作為攻擊鏈的一部分。安全供應(yīng)商后來(lái)將這次攻擊歸因于與 Clop 勒索軟件家族和FIN11(一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的APT組織)有聯(lián)系的威脅行為者。

Digital Shadows的網(wǎng)絡(luò)威脅情報(bào)分析師伊凡(Ivan Righi) 表示：“Accellion攻擊是2021年初的重大事件，因?yàn)樗故玖死账鬈浖?yīng)鏈攻擊的危險(xiǎn)性。” “Clop勒索軟件團(tuán)伙能夠利用Accellion的文件傳輸設(shè)備 (FTP) 軟件中的零日漏洞一次鎖定大量公司，這大大減少了實(shí)現(xiàn)初始訪問所需的工作和精力。”

佛羅里達(dá)水務(wù)公司黑客事件提醒人們，關(guān)鍵基礎(chǔ)設(shè)施容易受到網(wǎng)絡(luò)攻擊

今年2月，一名攻擊者闖入佛羅里達(dá)州奧茲馬市一家水處理廠的系統(tǒng)，試圖改變一種名為堿液的化學(xué)物質(zhì)的含量，這種化學(xué)物質(zhì)用于控制水的酸度。當(dāng)入侵者試圖將堿液水平提高111倍時(shí)被發(fā)現(xiàn);在造成任何損壞之前，更改很快就被逆轉(zhuǎn)了。

隨后對(duì)該事件的分析顯示，入侵者獲得了對(duì)屬于水處理設(shè)施操作員的系統(tǒng)的訪問權(quán)限，可能使用被盜的TeamViewer憑據(jù)遠(yuǎn)程登錄了該系統(tǒng)。此次入侵，使美國(guó)關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊面前的持續(xù)脆弱性暴露無(wú)遺，特別是因?yàn)樗砻魅肭诛嬘盟幚碓O(shè)施的監(jiān)控和數(shù)據(jù)采集 (SCADA) 系統(tǒng)是多么的簡(jiǎn)單。

這一事件促使CISA向關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商發(fā)出警告，提醒他們注意在環(huán)境中使用桌面共享軟件和過時(shí)或接近報(bào)廢的軟件(如Windows 7)的危險(xiǎn)。CISA表示，其建議是基于其觀察結(jié)果——以及FBI等其他機(jī)構(gòu)的觀察結(jié)果——網(wǎng)絡(luò)犯罪分子通過此類技術(shù)瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)。

“佛羅里達(dá)水務(wù)公司事件意義重大，因?yàn)樗庙懥司?，提醒人們公用事業(yè)很容易受到損害。”BreakQuest首席技術(shù)官杰克·威廉姆斯(Jake Williams)說(shuō)。

(來(lái)源：darkreading。本文參考內(nèi)容均來(lái)源于網(wǎng)絡(luò)，僅供讀者了解和掌握相關(guān)情況參考，不用于任何商業(yè)用途。侵刪)