2021年12月9日公開的Log4j2漏洞迅速成為2021年最重要的安全威脅之一。但是，這并不是安全團隊全年必須努力解決的唯一問題。與往年一樣，2021年也發(fā)生了影響許多組織的大網(wǎng)絡(luò)安全事件。本文盤點了2021年最具影響力的十起網(wǎng)絡(luò)安全事件。

1. Log4Shell：震驚業(yè)界的Log4j2漏洞

12月9日，Log4j2 日志記錄框架中的一個嚴重的遠程代碼執(zhí)行漏洞震撼了整個行業(yè)。這種擔憂源于這樣一個事實，即Log4j2工具在企業(yè)、運營技術(shù) (OT)、軟件即服務(wù) (SaaS) 和云服務(wù)提供商 (CSP) 環(huán)境中普遍使用，而且相對容易利用。該漏洞為攻擊者提供了一種遠程控制服務(wù)器、PC 和任何其他設(shè)備的方法，包括存在日志工具的關(guān)鍵 OT 和工業(yè)控制系統(tǒng) (ICS) 環(huán)境中的設(shè)備。

該漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0到 Log4j 2.15.0-RC1 版本中，可以通過多種方式利用。Apache 基金會最初發(fā)布了該工具的新版本 (Apache Log4j 2.15.0) 來解決該問題，但此后不久就不得不發(fā)布另一個更新，因為第一個更新沒有完全防止拒絕服務(wù) (DoS) 攻擊和數(shù)據(jù)盜竊。

媒體報道稱，比利時國防部網(wǎng)絡(luò)最近受到不明攻擊者的成功攻擊，攻擊者利用Apache log4j2的巨大漏洞實施攻擊。

安全專家毫不懷疑攻擊者會利用該漏洞，并在可預(yù)見的未來繼續(xù)這么做，因為組織很難找到易受攻擊工具的每一個實例并防范該漏洞。

2. 美國ColonialPipeline感染勒索軟件，主要輸油管停運

5 月份，美國最大的燃料管道公司Colonial Pipeline遭到勒索軟件攻擊，5500英里輸油管停運。Colonial Pipeline每天從德克薩斯州輸送250萬桶石油到東海岸和紐約，該管道覆蓋了美國東海岸45%的燃料供應(yīng)。這是其歷史上的第一次。此舉中斷了數(shù)百萬加侖燃料的運輸，并引發(fā)了美國東海岸大部分地區(qū)的暫時天然氣短缺。

美國的某官員稱，此次勒索攻擊事件與總部位于俄羅斯的 DarkSide 的組織有關(guān)。DarkSide 使用被盜的舊虛擬專用網(wǎng)憑據(jù)獲得了對 Colonial Pipeline 網(wǎng)絡(luò)的訪問權(quán)限。SANS 研究所新興安全趨勢主管約翰·佩斯卡托 (John Pescatore) 說，攻擊方法本身并不是特別值得注意，但破壞本身“是可見的、有意義的，而且許多政府職位的人都能感受到，”他說。

這次攻擊行為的影響將勒索軟件提升為國家安全級別的擔憂，并引發(fā)了白宮的反應(yīng)。事件發(fā)生幾天后，拜登總統(tǒng)發(fā)布了一項行政命令，要求聯(lián)邦機構(gòu)實施新的控制措施以加強網(wǎng)絡(luò)安全。

3. Kaseya公司被勒索軟件攻擊，影響全球200家企業(yè)，又一次將注意力集中在供應(yīng)鏈風險上

7 月初，IT 管理軟件供應(yīng)商 Kaseya 的系統(tǒng)被黑客入侵。黑客通過使用該公司的VSA產(chǎn)品來感染用戶，然后再通過勒索軟件來攻擊這些用戶。

受害者中有瑞典雜貨連鎖店Coop，這是Kaseya客戶之一，該事件目前已經(jīng)導(dǎo)致Coop的500家商店店面關(guān)閉。信息安全公司Huntress稱，至少有200家企業(yè)受到影響。

該事件后來歸因于 REvil/Sodinokibi 勒索軟件組織的一個附屬機構(gòu)，其中涉及威脅行為者利用 Kaseya 的虛擬系統(tǒng)管理員 (VSA) 技術(shù)中的一組三個漏洞，許多托管服務(wù)提供商 (MSP) 使用這些漏洞來管理其客戶的網(wǎng)絡(luò)。攻擊者利用這些漏洞利用 Kaseya VSA 在屬于 MSP 下游客戶的數(shù)千個系統(tǒng)上分發(fā)勒索軟件。

Kaseya發(fā)生的安全事件，再次凸顯了組織面臨來自軟件供應(yīng)商和 IT 供應(yīng)鏈中其他供應(yīng)商的日益嚴重的威脅。雖然此類攻擊已持續(xù)多年，但SolarWinds事件 和 Kaseya事件凸顯了威脅日益嚴重。

該事件促使美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)出多個威脅警報，并為 MSP 及其客戶提供指導(dǎo)。

4. Microsoft Exchange Server的ProxyLogon和ProxyShell漏洞攻擊，此啟彼伏

微軟的Microsoft Exchange Server，是一個電子郵件、聯(lián)系人、日程安排、日歷和協(xié)作平臺。

3月初，當微軟針對其 Exchange Server 技術(shù)中的四個漏洞(統(tǒng)稱為 ProxyLogon)發(fā)布緊急修復(fù)程序時，此舉引發(fā)了一場前所未有的修補狂潮

ProxyLogon由四個漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)組成，這些漏洞可以被同時利用，用來創(chuàng)建一個預(yù)認證遠程代碼執(zhí)行(RCE)漏洞。這意味著攻擊者可以在不知道任何有效賬戶憑證的情況下接管服務(wù)器。這使得他們能夠訪問電子郵件通信系統(tǒng)，他們還有機會上傳一個webshell文件，還可以更進一步地攻擊網(wǎng)絡(luò)，例如部署勒索軟件等。

一些安全供應(yīng)商的后續(xù)調(diào)查表明，幾個威脅組織在補丁發(fā)布之前就已經(jīng)瞄準了這些漏洞，并且在微軟披露漏洞后，許多其他組織也加入了這一行動。攻擊數(shù)量如此之多，以至于 F-Secure 曾將全球易受攻擊的 Exchange Server描述為“被黑客入侵的速度比我們想象的要快”。

而且，雖然官方已經(jīng)發(fā)布了補丁，但這對于那些已經(jīng)被入侵了的電腦毫無作用。出于對攻擊者在修補之前安裝在 Exchange Server 上的 Web shell 的擔憂揮之不去，促使美國司法部采取前所未有的措施，命令 FBI主動從后門的 Exchange Server 中刪除 Web shell。

ProxyShell實際上是由3個漏洞所串聯(lián)，分別是微軟于4月修補的CVE-2021-34473與CVE-2021-34523，以及5月修補的CVE-2021-31207。

這3個漏洞是由臺灣安全企業(yè)戴夫寇爾(Devcore)所披露，分別屬于遠程程序攻擊漏洞、權(quán)限擴張漏洞與安全功能繞過漏洞，它們同時影響Microsoft Exchange Server 2010、2013、2016與2019。

ProxyShell是利用了Exchange服務(wù)器對于路徑的不準確過濾導(dǎo)致的路徑混淆生成的SSRF，進而使攻擊者通過訪問PowerShell端點。而在PowerShell端點可以利用Remote PowerShell來將郵件信息打包到外部文件，而攻擊者可以通過構(gòu)造惡意郵件內(nèi)容，利用文件寫入寫出webshell，從而達成命令執(zhí)行。

ProxyShell漏洞比ProxyLogon漏洞更嚴重，因為ProxyShell更容易開采，而且很多組織基本上并未修補。安全公司Huntress Labs的研究人員發(fā)現(xiàn)，攻擊者在1,900多臺受感染的Microsoft Exchange服務(wù)器上部署了140多個Webshell。

通過利用 ProxyLogon 和 ProxyShell，攻擊者能夠繞過通常的檢查來避免被阻止。Squirrelwaffle 攻擊應(yīng)該讓用戶警惕新的策略，它們會想辦法掩蓋惡意郵件和文件。來自可信聯(lián)系人的電子郵件也不能保證無論什么鏈接或文件包含在電子郵件是安全的。

5. PrintNightmare 又一個Windows漏洞

7月，微軟推出了一個緊急 Windows 修復(fù)補丁，以修復(fù)存在于 Windows Print Spooler 服務(wù)中的一個關(guān)鍵缺陷。該漏洞被稱之為“PrintNightmare”。

PrintNightmare在漏洞編號為CVE-2021-34527，被評為關(guān)鍵漏洞，因為攻擊者可以在受影響機器上以系統(tǒng)級權(quán)限遠程執(zhí)行代碼。它允許Print Spooler服務(wù)執(zhí)行非法文件操作來遠程執(zhí)行代碼。能夠以 SYSTEM 權(quán)限執(zhí)行任意代碼，通過動態(tài)加載第三方二進制文件，遠程攻擊者利用該漏洞可以完全接管系統(tǒng)。這個漏洞同樣是“2021年最該及時處理“的一個漏洞。

由于 Windows Print Spooler 服務(wù)在Windows上默認運行，受該漏洞影響的操作系統(tǒng)包括已經(jīng)停止支持的Windows 7和Windows2008。因為其嚴重性，微軟發(fā)布了各種支持版本的緊急更新補丁，包括針對不再支持的系統(tǒng)(Windows7和Windows2008)的補丁。

6. 佛羅里達水務(wù)公司黑客事件，關(guān)鍵基礎(chǔ)設(shè)施容易受到網(wǎng)絡(luò)攻擊

2月，一名攻擊者成功遠程闖入佛羅里達州奧爾茲馬爾市一家水處理廠的系統(tǒng)，試圖改變一種名為堿液的化學物質(zhì)的含量，這種化學物質(zhì)用于控制水的酸度。當入侵者試圖將堿液水平提高111倍時被發(fā)現(xiàn);并未造成任何損壞。

后來對該事件的分析顯示，入侵者獲得了對屬于水處理設(shè)施操作員的系統(tǒng)訪問權(quán)限，可能使用被盜的 TeamViewer 憑據(jù)遠程登錄該系統(tǒng)。此次入侵使美國關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊面前的持續(xù)脆弱性暴露無遺，特別是因為它表明入侵飲用水處理設(shè)施的監(jiān)控和數(shù)據(jù)采集 (SCADA) 系統(tǒng)是多么的簡單。

該事件促使 CISA警告關(guān)鍵基礎(chǔ)設(shè)施運營商，在環(huán)境中使用桌面共享軟件和過時或接近報廢的軟件(如 Windows 7)的危險。

所幸攻擊未遂。安全行業(yè)普遍認為，關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問題和風險正在由數(shù)字空間逼近物理空間，處于爆發(fā)的前夜!

7. Accellion攻擊，又是供應(yīng)鏈攻擊

2月，美國、加拿大、新加坡、荷蘭和其他國家/地區(qū)的多個組織遭遇了嚴重的數(shù)據(jù)泄露，因為他們使用的Accellion 的文件傳輸服務(wù)存在漏洞。零售巨頭克羅格是最大的受害者之一，其藥房和診所服務(wù)的員工和數(shù)百萬客戶的數(shù)據(jù)被暴露。其他著名的受害者包括眾達律師事務(wù)所、新加坡電信、華盛頓州和新西蘭儲備銀行。

Accellion將這個問題描述為與其近乎過時的文件傳輸設(shè)備技術(shù)中的零日漏洞有關(guān)，當時許多組織正在使用該技術(shù)在其組織內(nèi)部和外部傳輸大型文件。

經(jīng)安全供應(yīng)商Mandiant調(diào)查，攻擊者分別在2020年12月與2021年1月，使用了不同的漏洞，他們先在12月濫用了CVE-2021-27101、CVE-2021 -27104，到了1月則是使用CVE-2021-27102、CVE-2021-27103，來對Accellion用戶發(fā)動攻擊。在介入調(diào)查后，又找到2個新的FTA漏洞CVE-2021-27730與CVE-2021-27731。

這次攻擊歸因于與 Cl0p 勒索軟件家族和 FIN11(一個出于經(jīng)濟動機的 APT 組織)有聯(lián)系的威脅行為者。

本次事故，也促使Accellion對于FTA的維護規(guī)劃做出重大決定──他們決定提前于2021年4月30日終止FTA的產(chǎn)品生命周期(EOL)，并敦促所有FTA用戶盡快改用Kiteworks Content Firewall。在聲明中，多次提及FTA是超過20年的老牌產(chǎn)品，且產(chǎn)品生命周期將至，并建議用戶要轉(zhuǎn)移到現(xiàn)行的Kiteworks Content Firewall。

“Accellion 攻擊是 2021 年初的重大事件，因為它展示了勒索軟件供應(yīng)鏈攻擊的危險性。”

“Cl0p 勒索軟件團伙能夠利用 Accellion 的文件傳輸設(shè)備 [FTP] 軟件中的零日漏洞同時針對大量公司，這大大減少了實現(xiàn)初始訪問所需的工作和精力。”

8. 宏碁遭勒索軟件攻擊

3月。當總部位于臺灣的跨國電腦制造商宏碁遭到贖金攻擊，攻擊者REvil組織公布了入侵宏碁系統(tǒng)的截圖，并索要5,000萬美元，是當時為止已知的最大的網(wǎng)絡(luò)犯罪贖金。

據(jù)報導(dǎo)，網(wǎng)絡(luò)罪犯利用了Microsoft Exchange攻擊造成的漏洞。

宏碁對龐大的勒索金額感到非常震驚，不過并沒有付款。因此，REvil 便在暗網(wǎng)上公布了竊取而來的資料，包含宏碁財務(wù)的表格、銀行結(jié)余、銀行通訊文檔等機密材料。

9. 戴爾 BIOS 升級軟件出現(xiàn)漏洞：可遠程執(zhí)行代碼，影響上億臺電腦

5月，安全研究機構(gòu) Eclypsium 近日發(fā)現(xiàn)，戴爾的遠程 BIOS 升級軟件出現(xiàn)了一個嚴重漏洞，會導(dǎo)致攻擊者劫持 BIOS 下載請求，并使用經(jīng)過修改的文件進行攻擊。這會使得黑客可以控制系統(tǒng)的啟動過程，破壞操作系統(tǒng)。

驅(qū)動漏洞存在于名為DBUtil 的檔案中，被統(tǒng)稱為 CVE-2021-21551。其中 4 個漏洞可被用于提高權(quán)限，剩下的 1 個則存在被用于 DoS 攻擊的風險。

收到 Sentinel 的報告后，戴爾已經(jīng)通過補丁更新的方式將漏洞補上。根據(jù)他們的估計，自 2009 年后大約有380個型號的產(chǎn)品均受到了影響，如果不修復(fù)的話可能就有數(shù)億臺電腦設(shè)備都會繼續(xù)暴露在風險之下。

10. LinkedIn數(shù)據(jù)泄露，又見數(shù)據(jù)泄露

在 4 月份的一次數(shù)據(jù)抓取事件中，5 億 LinkedIn 會員受到影響后，該事件在 6 月份再次發(fā)生。一個自稱為“GOD User TomLiner.”的黑客在RaidForums 上發(fā)布了一條包含 7 億條 LinkedIn 待售記錄的帖子。該廣告包含 100 萬條記錄樣本作為“證據(jù)”。Privacy Sharks 檢查了免費樣本，發(fā)現(xiàn)記錄包括全名、性別、電子郵件地址、電話號碼和行業(yè)信息。目前尚不清楚數(shù)據(jù)的來源是什么。據(jù) LinkedIn 稱，沒有發(fā)生任何網(wǎng)絡(luò)泄露事件。