10月20日，統(tǒng)一身份安全服務(wù)提供商Okta披露了一個安全漏洞，涉及未經(jīng)授權(quán)訪問其客戶支持系統(tǒng)。當(dāng)黑客利用被盜的憑證滲透Okta管理系統(tǒng)時，就可以在該系統(tǒng)中查看某些客戶上傳的文件，并將其用來冒充有效用戶。而在稍早之前，思科公司也對外發(fā)布安全警告，由于其IOS XE軟件中的一個高危級漏洞，嚴重影響了其暴露在互聯(lián)網(wǎng)上的4萬臺網(wǎng)絡(luò)設(shè)備運營安全性。

以上不斷發(fā)生的IT公司安全性事件也表明了，IT行業(yè)正在成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，這也引起了網(wǎng)絡(luò)安全行業(yè)的擔(dān)憂。一方面，IT類企業(yè)往往會擁有大量的合作伙伴和產(chǎn)品用戶，其安全事件的影響范圍會非常廣泛；另一方面，針對IT企業(yè)的網(wǎng)絡(luò)攻擊也會打擊更多傳統(tǒng)企業(yè)安全團隊的信心，“連那些以科技產(chǎn)品和服務(wù)（包括網(wǎng)絡(luò)安全）為主業(yè)的企業(yè)都無法免受網(wǎng)絡(luò)攻擊威脅，那我們該怎么辦？”

為了充分了解網(wǎng)絡(luò)攻擊對IT行業(yè)的影響和特點，安全網(wǎng)站CRN日前盤點了在2023年遭到攻擊的10家知名的IT公司，并對相關(guān)攻擊情況進行了分析。

01Okta

在2023年10月20日，BleepingComputer發(fā)布了一篇題為“Okta 表示，其支持系統(tǒng)因憑據(jù)被盜而遭到破壞”的文章。該文章一經(jīng)發(fā)布，引起了大量討論。據(jù)報道，國際身份軟件巨頭Okta的客戶支持系統(tǒng)遭到黑客攻擊，導(dǎo)致客戶上傳的Cookie和會話令牌等敏感數(shù)據(jù)泄露，并侵入了客戶網(wǎng)絡(luò)。這導(dǎo)致Okta股票在上周五收盤時下跌了11%。

Okta首席安全官David Bradbury表示：“威脅行為者能夠查看近期支持案例中某些Okta客戶上傳的文件?！蹦壳埃琌kta尚未提供此次入侵泄露或訪問的受影響客戶信息。不過，此次攻擊中被入侵的支持案例管理系統(tǒng)也存儲了HTTP存檔（HAR）文件，這些文件用于復(fù)制用戶或管理員錯誤，從而排除用戶報告的各種問題。這些文件還包含敏感數(shù)據(jù)，例如Cookie和會話令牌。威脅行為者可能會使用這些數(shù)據(jù)來劫持客戶賬戶。

02思科

10月16日，安全人員發(fā)現(xiàn)了一個嚴重的IOS XE漏洞，導(dǎo)致了近42000臺思科設(shè)備面臨攻擊危險。安全專家表示，針對思科IOS XE用戶的持續(xù)攻擊或?qū)⑹怯惺芬詠碜顝V泛的邊緣攻擊之一。

思科公司在其發(fā)布的正式安全公告中表示，IOS XE的零日漏洞已被攻擊者大肆利用。特權(quán)升級漏洞被思科公司評估為其公司的最高嚴重等級：10.0。思科的Talos威脅情報團隊表示，惡意攻擊者通過利用這個漏洞，就可以全面控制被攻擊的設(shè)備。

目前，眾多思科公司網(wǎng)絡(luò)設(shè)備都使用了IOS XE網(wǎng)絡(luò)軟件平臺，而其中許多設(shè)備通常部署在邊緣環(huán)境中，這包括分支路由器、工業(yè)路由器和聚合路由器，以及Catalyst 9100接入點和物聯(lián)網(wǎng)就緒的Catalyst 9800無線控制器。

03CDW Corporation

CDW Corporation是一家全球500強企業(yè)，為北美地區(qū)的政府和企業(yè)客戶提供全面的信息技術(shù)解決方案。10月12日，CDW公司證實，它正在就一起網(wǎng)絡(luò)安全勒索攻擊事件開展調(diào)查，此前勒索犯罪團伙L(fēng)ockBit聲稱竊取了該公司的業(yè)務(wù)數(shù)據(jù)，并要求CDW支付8000萬美元的贖金，這是迄今為止該勒索攻擊組織提出的最高贖金要求。

在后續(xù)的談判中，由于CDW公司僅愿意支付8000萬美元贖金要求中的110萬美元。因此，LockBit在其常用的暗網(wǎng)泄露網(wǎng)站表示，屬于CDW的所有可用數(shù)據(jù)已被公布，并提供了一個可下載94.7 GB歸檔數(shù)據(jù)的鏈接。

04ScanSource

2023年5月中旬，全球領(lǐng)先的IT和電信分銷商ScanSource對外宣布，公司成為勒索軟件攻擊的受害者。這起攻擊在5月14日被ScanSource公司的安全運營團隊發(fā)現(xiàn)，對公司業(yè)務(wù)系統(tǒng)的影響持續(xù)了近兩周，導(dǎo)致包括其大部分網(wǎng)站系統(tǒng)在內(nèi)的業(yè)務(wù)系統(tǒng)癱瘓，從而影響了其遍布全球各地的客戶和供應(yīng)商。

盡管ScanSource公司在發(fā)現(xiàn)攻擊后，立即開始了事件調(diào)查，同時還實施了事件響應(yīng)計劃，但這次攻擊仍然嚴重影響了該公司的多個軟、硬件產(chǎn)品分銷核心系統(tǒng)。

053CX

2023年3月，通信軟件開發(fā)商3CX發(fā)生了嚴重的軟件供應(yīng)鏈安全事件。盡管3CX公司表示，這起攻擊事件在發(fā)生后的幾周內(nèi)就被發(fā)現(xiàn)，因而該事件給公司及其客戶帶來的影響有限。但是，該事件還是引起了人們的極大擔(dān)憂，因為其產(chǎn)品被廣泛使用，目前客戶總數(shù)已經(jīng)超過60萬家，通過其25000個合作伙伴進行銷售。

網(wǎng)絡(luò)安全公司Mandiant對該事件進行了調(diào)查，研究人員認為3CX攻擊活動是由早期的供應(yīng)鏈攻擊導(dǎo)致的。研究人員透露，在之前的攻擊中，攻擊者篡改了金融軟件公司Trading Technologies分發(fā)的一個軟件包。這是Mandiant首次發(fā)現(xiàn)一起軟件供應(yīng)鏈攻擊導(dǎo)致另一起軟件供應(yīng)鏈攻擊。

06Cognizant

Cognizant是一家全球性的IT解決方案提供商，在今年的6月27日，該公司因為其使用的MOVEit 產(chǎn)品中存在嚴重漏洞而攻擊而遭受了勒索軟件攻擊，并且登上了Clop組織發(fā)布的被勒索企業(yè)名單中。Clop組織隨后聲稱，已在其專屬的暗網(wǎng)網(wǎng)站上，發(fā)布了其竊取的Cognizant公司數(shù)據(jù)，隨后還將這些數(shù)據(jù)作為種子下載提供，這些數(shù)據(jù)主要涉及Cognizant員工的數(shù)據(jù)，包括公司信用卡和個人數(shù)據(jù)等。目前，Cognizant公司還一直沒有官方回復(fù)該起勒索攻擊傳言。其實早在2020年，Cognizant公司就成為迷宮勒索軟件活動的主要受害者之一。該公司當(dāng)時表示，預(yù)計將花費高達7000萬美元來修復(fù)攻擊造成的損失。

07IBM

今年6月，IBM公司同樣因為使用了MOVEit相關(guān)產(chǎn)品，導(dǎo)致美國科羅拉多州和密蘇里州的多家政府機構(gòu)客戶信息被非法訪問。IBM公司表示，MOVEit Transfer 是一款數(shù)據(jù)傳輸程序，并非IBM自研，而是由Progress Software公司開發(fā)，IBM會將該工具作為客戶提供服務(wù)的一部分。

通過利用MOVEit Transfer漏洞，未經(jīng)授權(quán)的攻擊者可能已訪問的用戶個人信息包括：姓名、社會保障號、醫(yī)療補助識別（ID）號碼、醫(yī)療保險ID號碼、出生日期、家庭住址及聯(lián)系方式、人口統(tǒng)計或收入信息、臨床及醫(yī)療信息（比如診斷、病情、化驗結(jié)果、藥物或其他治療信息）以及健康保險信息。

事件發(fā)生后，IBM公司立即與科羅拉多州醫(yī)療保健部以及密蘇里州社會服務(wù)部開展了密切合作，以確定并盡量減輕MOVEit Transfer泄露的影響。據(jù)IBM的正式聲明顯示，公司為其受影響的客戶推薦了MOVEit軟件漏洞修復(fù)程序，并已停止使用MOVEit Transfer應(yīng)用程序。

08Iron Bow Technologies

同樣是受到MOVEit Transfer漏洞活動的影響，Iron Bow Technologies公司在Clop組織控制的暗網(wǎng)網(wǎng)站上也被列為受影響組織之一，并威脅將公開售賣從Iron Bow Technologies竊取的數(shù)據(jù)。起初，Iron Bow Technologies公司并不認為其數(shù)據(jù)沒有受到MOVEit漏洞攻擊的影響。然而，在向CRN網(wǎng)站提供的正式聲明中，Iron Bow Technologies公司更新了相關(guān)情況說明。Iron Bow Technologies的首席信息安全官布拉德·吉斯表示：“在2023年的某個時間，我們調(diào)查發(fā)現(xiàn)一定數(shù)量的客戶數(shù)據(jù)遭到未經(jīng)授權(quán)的非法訪問，公司立即采取行動，通知了適當(dāng)?shù)牡胤健⒅莺吐?lián)邦機構(gòu)，以及供應(yīng)商和客戶?！?/p>

09普華永道

普華永道是全球知名的四大會計師事務(wù)所之一，該公司同時提供和IT和網(wǎng)絡(luò)安全咨詢相關(guān)服務(wù)。6月22日，公司正式宣布受到了MOVEit攻擊的影響。普華永道證實，它也使用Progress Software公司的MOVEit產(chǎn)品，攻擊對公司及其客戶產(chǎn)生了一定程度的影響，但其自身的IT網(wǎng)絡(luò)沒有受到破壞。

在獲悉這一事件后，普華永道立即采取了相關(guān)應(yīng)急響應(yīng)措施，并停止使用MOVEit。由于并未滿足Clop的勒索要求，普華永道也成為第一個被Clop在其暗網(wǎng)網(wǎng)站上公開客戶隱私數(shù)據(jù)的受害企業(yè)。

10安永

同樣作為四大會計師事務(wù)所的安永公司，在6月12日接受BBC采訪時表示，“經(jīng)過安全團隊的調(diào)查，公司確認也受到MOVEit攻擊的影響。在安永正式提供給包括CRN在內(nèi)的媒體聲明中表示：我們正在全面調(diào)查可能受到訪問的系統(tǒng)。我們將全力保障使用這種傳輸服務(wù)的系統(tǒng)和客戶組織免受漏洞攻擊活動的侵害?！卑灿拦就瑫r表示，他們的首要任務(wù)是與受影響方、相關(guān)監(jiān)管機構(gòu)進行溝通，并將他們的調(diào)查工作持續(xù)推進。

參考鏈接：https://www.crn.com/news/security/hackers-hit-the-it-industry-12-companies-targeted-in-2023/1