從Heartbleed到Apache Struts再到SolarWinds，這些是過去10年來發(fā)生的分水嶺式的網(wǎng)絡(luò)安全事件。

在過去十年，網(wǎng)絡(luò)安全行業(yè)經(jīng)歷了相當(dāng)多的分水嶺時刻，這些時刻對網(wǎng)絡(luò)安全格局產(chǎn)生了重大影響。嚴(yán)重的漏洞、廣泛的網(wǎng)絡(luò)攻擊已經(jīng)改變了網(wǎng)絡(luò)安全的許多方面。為了回顧過去10年發(fā)生的安全事件，網(wǎng)絡(luò)安全供應(yīng)商Trustwave公司日前發(fā)表了一篇名為《十年回顧：漏洞狀態(tài)》的博客文章，其中列出了過去10年中最突出和最值得注意的10個網(wǎng)絡(luò)安全問題和違規(guī)行為。

該文章寫道：“很難完整講述過去10年網(wǎng)絡(luò)安全行業(yè)發(fā)生的各個故事，因為安全工具和事件記錄器最近發(fā)展如此之快，以至于我們現(xiàn)在認為理所當(dāng)然的許多指標(biāo)在10年前根本不存在。然而，可用的數(shù)據(jù)提供了足夠的信息來發(fā)現(xiàn)一些重要的發(fā)展趨勢。根據(jù)美國國家漏洞數(shù)據(jù)庫(NVD)、Exploit-DB漏洞數(shù)據(jù)庫、VulnIQ和Trustwave公司的安全數(shù)據(jù)等來源，最明顯的趨勢是安全事件和漏洞的數(shù)量不斷增加，并且變得更加復(fù)雜?！?/p>

以下是Trustwave公司定義的在過去十年發(fā)生的10起分水嶺式安全事件，排名不分先后。

1、SolarWinds黑客攻擊和FireEye漏洞

2020年12月，對網(wǎng)絡(luò)監(jiān)控工具SolarWinds Orion供應(yīng)鏈的網(wǎng)絡(luò)攻擊事件被Trustwave公司稱之為“十年來最嚴(yán)重和最具破壞性的網(wǎng)絡(luò)安全事件，該事件在全球范圍內(nèi)引起了軒然大波。多家公司和美國政府機構(gòu)成為該活動的受害者，網(wǎng)絡(luò)犯罪分子利用FireEye紅隊工具和內(nèi)部威脅情報數(shù)據(jù)植入惡意后門更新(稱為SUNBURST)，影響了大約18000名客戶，并使網(wǎng)絡(luò)攻擊者能夠修改、竊取和破壞網(wǎng)絡(luò)上的數(shù)據(jù)。Trustwave公司表示，盡管SolarWinds在2020年12月13日發(fā)布了補丁，但受感染的服務(wù)器如今仍然使用，網(wǎng)絡(luò)攻擊仍在發(fā)生，這是因為很多企業(yè)不知道在補丁之前設(shè)置休眠向量。

去年12月，前美國國家安全局黑客、安全咨詢機構(gòu)TrustedSec公司的創(chuàng)始人David Kennedy在接受行業(yè)媒體采訪時說：“當(dāng)你看到SolarWinds攻擊發(fā)生的事情時，這是一個典型的例子，說明網(wǎng)絡(luò)攻擊者可以選擇部署其產(chǎn)品的任何目標(biāo)，很多受害者是分布在世界各地的大量公司，而大多數(shù)企業(yè)都沒有能力將其納入從檢測和預(yù)防角度作出的反應(yīng)?！?/p>

2021年6月，里士滿大學(xué)管理學(xué)教授兼風(fēng)險管理和工業(yè)與運營工程專家Shital Thekdi表示，SolarWinds遭遇的網(wǎng)絡(luò)攻擊是史無前例的，因為它能夠造成重大的物理后果，可能會影響關(guān)鍵基礎(chǔ)設(shè)施提供商的能源和制造能力，并造成持續(xù)的入侵，應(yīng)被視為具有潛在巨大危害的嚴(yán)重事件。

2、EternalBlue漏洞利用和WannaCry/NotPetya勒索軟件攻擊

Trustwave公司名單的下一個是2017年的EternalBlue漏洞利用和隨后發(fā)生的WannaCry/NotPetya勒索軟件事件。黑客組織ShadowBrokers泄露了從美國國家安全局(NSA)竊取的重大漏洞利用，這些漏洞被用于執(zhí)行極具破壞性的WannaCry和NotPetya勒索軟件攻擊，影響了全球數(shù)千個系統(tǒng)，對英國和烏克蘭的衛(wèi)生服務(wù)造成了特別的損害。最重要的漏洞利用被稱為EternalBlue，針對的是CVE-2017-0144漏洞，微軟公司在ShadowBrokers泄漏前一個月修補了該漏洞。Trustwave公司稱，EternalBlue漏洞利用至今仍活躍在流行的聯(lián)網(wǎng)設(shè)備搜索引擎Shodan中，目前列出了7500多個易受攻擊的系統(tǒng)。

2017年，RiskSense公司研究人員表示，“EternalBlue漏洞利用非常危險，因為它可以提供對幾乎所有未打補丁的Microsoft Windows系統(tǒng)的即時、遠程和未經(jīng)身份驗證的訪問，這是家庭用戶和商業(yè)世界中使用最廣泛的操作系統(tǒng)之一?！?/p>

3、OpenSSL中的Heartbleed漏洞

Trustwave公司在文章中聲稱，在2014年出現(xiàn)的Heartbleed漏洞如今繼續(xù)肆虐，估計迄今為止威脅到20多萬個易受攻擊的系統(tǒng)。安全研究人員在OpenSSL(一種保護Web的加密技術(shù))中發(fā)現(xiàn)了嚴(yán)重缺陷(CVE-2014-0160)。它之所以被稱為Heartbleed，是因為OpenSSL的TLS/DTLS(傳輸層安全協(xié)議)擴展組件(RFC6520)的實現(xiàn)中存在該漏洞，并允許互聯(lián)網(wǎng)上的任何人讀取系統(tǒng)的內(nèi)存。

Heartbleed漏洞引起了大規(guī)模的恐慌，并很快被標(biāo)記為互聯(lián)網(wǎng)歷史上最嚴(yán)重的安全漏洞之一。信息安全先驅(qū)Bruce Schneier在他的博客文章中說：“如果將災(zāi)難性在1到10的范圍內(nèi)分類的話，那么Heartbleed帶來的災(zāi)難是11?！?/p>

在2014年撰寫的一篇文章中，安全顧問Roger Grimes制定了一個三步計劃，以幫助企業(yè)控制其OpenSSL環(huán)境并緩解Heartbleed漏洞。OpenSSL可能在60%或更多的網(wǎng)站上運行HTTPS連接，并用于許多其他使用基于SSL/TLS的協(xié)議的流行服務(wù)，如POP/S、IMAP/S和VPN。如果可以連接到基于SSL/TLS的服務(wù)，并且它沒有運行Microsoft Windows或Apple OSX，那么很有可能它很容易受到攻擊。

4、在Bash中執(zhí)行Shellshock遠程代碼

Trustwave公司在文章中指出，Shellshock(CVE-2014-7169)是“Bourne Again Shell”(Bash)命令行界面中的一個錯誤，在2014年被發(fā)現(xiàn)之前已經(jīng)存在了30年。該公司補充說：“該漏洞被認為比Heartbleed更嚴(yán)重，因為它允許網(wǎng)絡(luò)攻擊者在沒有用戶名和密碼的情況下完全控制系統(tǒng)。”雖然在2014年9月發(fā)布了一個補丁，Shellshock漏洞當(dāng)前處于非活動狀態(tài)，而黑客利用DNS劫持來訪問敏感系統(tǒng)。

Easy Solutions公司首席技術(shù)官Daniel Ingevaldson在2014年發(fā)表評論說：“利用這一漏洞依賴于可以從互聯(lián)網(wǎng)以某種方式訪問bash功能。bash的問題在于它被用于任何事情。在基于Linux的系統(tǒng)上，bash是默認的shell，任何啟用web的進程需要調(diào)用shell來處理輸入、運行命令(例如ping、sed或grep等)時，它都會調(diào)用Bash?！?/p>

5、ApacheStruts遠程命令注入和Equifax漏洞

這個嚴(yán)重的零日漏洞影響了2017年發(fā)現(xiàn)的Web應(yīng)用程序開發(fā)框架Apache Struts 2中的Jakarta Multipart解析器。這個漏洞允許通過錯誤地解析攻擊者的無效Content-Type HTTP標(biāo)頭來進行遠程命令注入攻擊。在幾個月之后，信用報告巨頭Equifax公司宣布，黑客已經(jīng)獲得了企業(yè)數(shù)據(jù)的訪問權(quán)限，這些數(shù)據(jù)可能會泄露美國、英國和加拿大等國家的1.43億人的敏感信息。進一步分析發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊者使用該漏洞(CVE-2017-5638)作為初始攻擊向量。

2017年9月，威脅情報機構(gòu)SurfWatch Labs的首席安全策略師Adam Meyer表示：“這種特殊的數(shù)據(jù)泄露將影響許多企業(yè)和聯(lián)邦機構(gòu)用來打擊其自身形式的欺詐行為的利用身份驗證堆棧?！盩rustwave公司認為此漏洞當(dāng)前處于非活動狀態(tài)。

6、推測執(zhí)行漏洞Meltdown和Spectre

Trustwave公司在其下一個列表中引用了2018年被稱為Meltdown和Spectre的重大CPU漏洞。這些屬于一類稱為推測執(zhí)行漏洞，網(wǎng)絡(luò)攻擊者可以將其作為攻擊目標(biāo)，利用運行計算機的CPU來訪問存儲在其他運行程序內(nèi)存中的數(shù)據(jù)。博客文章寫道，“Meltdown(CVE-2017-5754)破壞了阻止應(yīng)用程序訪問任意系統(tǒng)內(nèi)存的機制。Spectre(CVE-2017-5753和CVE-2017-5715)欺騙其他應(yīng)用程序訪問其內(nèi)存中的任意位置。兩種攻擊都使用側(cè)通道從目標(biāo)內(nèi)存位置獲取信息?！?/p>

這兩個漏洞都很重要，因為它們開啟了危險攻擊的可能性。正如2018年安全行業(yè)媒體在一篇文章中所述，“例如，網(wǎng)站上的JavaScript代碼可以使用Spectre來欺騙網(wǎng)絡(luò)瀏覽器以泄露用戶和密碼信息。網(wǎng)絡(luò)攻擊者可以利用Meltdown查看其他用戶擁有的數(shù)據(jù)，甚至是同一硬件上托管的其他虛擬服務(wù)器，這對云計算主機來說可能是災(zāi)難性的?！敝档脩c幸的是，Trustwave公司表示，Meltdown和Spectre似乎處于非活動狀態(tài)，目前沒有發(fā)現(xiàn)任何漏洞。

7、BlueKeep和遠程桌面作為訪問媒介

在大規(guī)模遠程工作以及2020年3月發(fā)生的新冠疫情引發(fā)的安全風(fēng)險之前的幾年，網(wǎng)絡(luò)犯罪分子以遠程桌面為攻擊目標(biāo)，利用RDP漏洞竊取個人數(shù)據(jù)、登錄憑據(jù)和安裝勒索軟件。然而，2019年，隨著BlueKeep的發(fā)現(xiàn)，遠程桌面作為攻擊向量的威脅真正凸顯出來，BlueKeep是Microsoft遠程桌面服務(wù)中的一個遠程代碼執(zhí)行漏洞。Trustwave公司在文章中寫道：“安全研究人員認為BlueKeep特別嚴(yán)重，因為它是可攻擊的，這意味著網(wǎng)絡(luò)攻擊者可以利用它在計算機之間傳播惡意軟件，而無需人工干預(yù)?！?/p>

事實上，這就是問題的嚴(yán)重性，美國國家安全局(NSA)就該問題發(fā)布了提出自己的建議，“這是惡意網(wǎng)絡(luò)行為者經(jīng)常通過使用專門針對該漏洞的軟件代碼來利用的漏洞類型。例如，可以利用該漏洞進行拒絕服務(wù)攻擊。遠程利用工具廣泛用于這一漏洞可能只是時間問題。美國國家安全局(NSA)擔(dān)心惡意網(wǎng)絡(luò)攻擊者會利用勒索軟件中的漏洞和包含其他已知漏洞的漏洞利用工具包，從而增強針對其他未修補系統(tǒng)的能力。”

Trustwave公司表示，BlueKeep仍然處于活動狀態(tài)，并在Shodan上發(fā)現(xiàn)了3萬多個易受攻擊的實例。

8、Drupalgeddon系列和CMS漏洞

Trustwave公司表示，Drupalgeddon系列包括兩個關(guān)鍵漏洞，如今美國聯(lián)邦調(diào)查局(FBI)認為這些漏洞仍然活躍。第一個漏洞是CVE-2014-3704，于2014年被發(fā)現(xiàn)，以開源內(nèi)容管理系統(tǒng)DrupalCore中的SQL注入漏洞的形式出現(xiàn)，威脅參與者利用該漏洞入侵大量網(wǎng)站。在四年之后，Drupal安全團隊披露了另一個名為Drupalgeddon 2(CVE-2018-7600)的極其嚴(yán)重的漏洞，該漏洞是由于Drupal7Form API上的輸入驗證不足而導(dǎo)致未經(jīng)身份驗證的攻擊者可以在默認或常見Drupal安裝和執(zhí)行遠程代碼。網(wǎng)絡(luò)攻擊者使用Drupalgeddon 2漏洞在Drupal安裝受損的服務(wù)器上挖掘加密貨幣。

2014年底，印第安納州教育部將其網(wǎng)站遭到攻擊歸咎于Drupal漏洞，該漏洞迫使其在問題得到解決期間暫時關(guān)閉其網(wǎng)站。

9、Microsoft WindowsOLE漏洞Sandworm

Trustwave公司列表中的倒數(shù)第二個漏洞是2014年檢測到的Microsoft Windows對象鏈接和嵌入(OLE)漏洞CVE-2014-4114。該公司在博客文章寫道，“該漏洞被用于針對北約、烏克蘭和西方政府組織以及能源行業(yè)公司的網(wǎng)絡(luò)間諜活動?！庇捎诎l(fā)起該活動的攻擊者團體名稱“沙蟲團隊”，該漏洞獲得了“沙蟲”這個綽號。Trustwave 公司認為該漏洞目前處于非活動狀態(tài)。

10、Ripple20漏洞和物聯(lián)網(wǎng)設(shè)備不斷增長

Trustwave公司的列表中的最后一個是Ripple20漏洞，這些漏洞突出了圍繞不斷擴大的物聯(lián)網(wǎng)領(lǐng)域的風(fēng)險。2020年6月，以色列物聯(lián)網(wǎng)安全服務(wù)商JSOF公司發(fā)布了19個漏洞，統(tǒng)稱為Ripple20，以說明它們將在未來幾年對聯(lián)網(wǎng)設(shè)備產(chǎn)生的“漣漪效應(yīng)”。

Trustwave在博客文章中指出，“這些漏洞存在于Treck網(wǎng)絡(luò)堆棧中，侵入到50多家供應(yīng)商和數(shù)百萬臺設(shè)備中，其中包括醫(yī)療保健、數(shù)據(jù)中心、電網(wǎng)和關(guān)鍵基礎(chǔ)設(shè)施中的關(guān)鍵任務(wù)設(shè)備。”

正如行業(yè)媒體在2020年所概述的那樣，一些漏洞可能允許通過網(wǎng)絡(luò)遠程執(zhí)行代碼，并導(dǎo)致受影響設(shè)備的全面入侵。Trustwave公司表示，Ripple20漏洞如今仍然很活躍。

如果漏洞未能修復(fù)將會在檢測之后很長時間內(nèi)構(gòu)成風(fēng)險。

Trustwave公司引用了這樣一個事實，即其列表中存在的幾個漏洞是在近十年前檢測到的，但即使在補丁和修復(fù)程序可用之后，隨著時間的推移，其中許多漏洞仍會繼續(xù)構(gòu)成風(fēng)險。這表明企業(yè)：

1. 缺乏跟蹤和記錄網(wǎng)絡(luò)上運行的各種服務(wù)的能力。
2. 在不中斷工作流程的情況下，努力為資產(chǎn)擔(dān)保并應(yīng)用補丁。
3. 對發(fā)現(xiàn)的零日反應(yīng)遲緩。

Trustwave公司補充說，鑒于2021年檢測到的零日攻擊急劇增加，這可能具有更大的意義。

Trustwave公司安全研究總監(jiān)Alex Rothacker表示，很多企業(yè)正在不斷地打補丁以應(yīng)對最新的漏洞。他說，“這是極具挑戰(zhàn)性的，尤其是對于員工有限或沒有專職安全員工的小型企業(yè)而言。即使對于較大的企業(yè)，也不總是有現(xiàn)成的補丁可用。以Log4j漏洞為例。大多數(shù)易受攻擊的Log4j版本是較大的第三方軟件包的一部分，許多第三方供應(yīng)商仍在努力全面更新其復(fù)雜的應(yīng)用程序?！?/p>

更重要的是，隨著時間的推移，焦點轉(zhuǎn)移到下一個漏洞上，導(dǎo)致原有的補丁有時丟失，Rothacker補充說，“漏洞越老，關(guān)于如何利用它的信息就越多。這使該漏洞更容易利用，網(wǎng)絡(luò)攻擊者利用已知漏洞所需的技能更少。對于老練的網(wǎng)絡(luò)攻擊者來說，這是一個容易攻擊的目標(biāo)。”