2021年最具影響力的七起網(wǎng)絡(luò)安全事件
近日,darkreading網(wǎng)站刊登了一篇文章,盤(pán)點(diǎn)了2021年最具影響力的七起網(wǎng)絡(luò)安全事件,現(xiàn)摘譯如下,以供讀者參考。
從今年的漏洞和攻擊中可以學(xué)到很多。
(圖片來(lái)源于darkreading)
12月10日公開(kāi)的Log4j漏洞迅速成為2021年最重要的安全威脅之一。但是,到目前為止,這并不是安全團(tuán)隊(duì)全年必須努力解決的唯一問(wèn)題。與每年一樣,2021年也發(fā)生了影響許多組織的其他大數(shù)據(jù)泄露和安全事件。
根據(jù)身份盜竊資源中心(ITRC)的數(shù)據(jù),截至9月30日,其公開(kāi)報(bào)告了 1,291起違規(guī)事件。這一數(shù)字已經(jīng)比2020年全年披露的1,108起違規(guī)事件高出17%。如果這種趨勢(shì)繼續(xù)下去,2021年可能會(huì)打破2017年報(bào)告的 1,529起違規(guī)記錄。但違規(guī)并不是唯一的問(wèn)題。Redscan對(duì)美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)(NVD) 的一項(xiàng)新分析顯示,今年迄今披露的漏洞數(shù)量(18,439個(gè))比以往任何一年都多。Redscan發(fā)現(xiàn),其中十分之九可以被黑客或技術(shù)能力有限的攻擊者利用。
對(duì)于每天保護(hù)組織免受威脅的安全團(tuán)隊(duì)來(lái)說(shuō),這些統(tǒng)計(jì)數(shù)據(jù)不太出人意料。但即便如此,這些數(shù)據(jù)還是反映了組織在2021年面臨的挑戰(zhàn)——毫無(wú)疑問(wèn),明年也將繼續(xù)面臨。
以下列出了2021年最具影響力的七起網(wǎng)絡(luò)安全事件。
震驚業(yè)界的Log4j漏洞
近來(lái),Log4j日志記錄框架中的一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞震撼了整個(gè)行業(yè)。這種擔(dān)憂(yōu)源于這樣一個(gè)事實(shí),即該工具在企業(yè)、運(yùn)營(yíng)技術(shù) (OT)、軟件即服務(wù) (SaaS) 和云服務(wù)提供商 (CSP) 環(huán)境中普遍使用,而且相對(duì)容易利用。該漏洞為攻擊者提供了一種遠(yuǎn)程控制服務(wù)器、PC和任何其他設(shè)備的方法,包括存在日志工具的關(guān)鍵OT和工業(yè)控制系統(tǒng) (ICS) 環(huán)境中的設(shè)備。
該漏洞(CVE-2021-44228) 存在于Log4j 2.0-beta9到Log4j 2.14.1版本中,可以通過(guò)多種方式利用。Apache基金會(huì)最初發(fā)布了該工具的新版本 (Apache Log4j 2.15.0) 來(lái)解決該問(wèn)題,但此后不得不發(fā)布另一個(gè)更新,因?yàn)榈谝粋€(gè)更新沒(méi)有完全防止拒絕服務(wù) (DoS) 攻擊和數(shù)據(jù)盜竊。
截至12月17日,沒(méi)有公開(kāi)報(bào)告的與該漏洞相關(guān)的重大數(shù)據(jù)泄露。然而,安全專(zhuān)家毫不懷疑攻擊者會(huì)利用該漏洞,因?yàn)榻M織很難找到易受攻擊工具的每一個(gè)實(shí)例并防范該漏洞。
許多安全供應(yīng)商報(bào)告了針對(duì)各種IT和OT系統(tǒng)的廣泛掃描活動(dòng),包括服務(wù)器、虛擬機(jī)、移動(dòng)設(shè)備、人機(jī)界面 (HMI) 系統(tǒng)和SCADA設(shè)備。許多掃描活動(dòng)都涉及嘗試投幣挖掘工具、遠(yuǎn)程訪問(wèn)特洛伊木馬、勒索軟件和 Web shell;其中包括已知的出于經(jīng)濟(jì)動(dòng)機(jī)的威脅組織。
科洛尼爾管道公司遇襲將勒索軟件提升為國(guó)家安全問(wèn)題
5月份,對(duì)美國(guó)管道運(yùn)營(yíng)商科洛尼爾管道公司(Colonial Pipeline) 的勒索軟件攻擊,在新聞中占據(jù)了頭條;因?yàn)樗鼘?duì)美國(guó)民眾產(chǎn)生了廣泛的影響。
由后來(lái)被確認(rèn)為總部位于俄羅斯、名為DarkSide(黑暗面)的組織發(fā)起的這次襲擊,導(dǎo)致科洛尼爾公司關(guān)閉了其5,500英里的管道,這是其歷史上的第一次。此舉中斷了數(shù)百萬(wàn)加侖燃料的運(yùn)輸,并引發(fā)了美國(guó)東海岸大部分地區(qū)的暫時(shí)天然氣短缺。這次事件的影響將勒索軟件提升為國(guó)家安全級(jí)別的問(wèn)題,并引發(fā)了白宮的反應(yīng)。事件發(fā)生幾天后,拜登總統(tǒng)發(fā)布了一項(xiàng)行政命令,要求聯(lián)邦機(jī)構(gòu)實(shí)施新的控制措施以加強(qiáng)網(wǎng)絡(luò)安全。
DarkSide使用被盜的舊虛擬專(zhuān)用網(wǎng)憑據(jù)獲得了對(duì)科洛尼爾管道公司網(wǎng)絡(luò)的訪問(wèn)權(quán)限。SANS研究所新興安全趨勢(shì)主管約翰·佩斯卡托 (John Pescatore) 說(shuō),攻擊方法本身并不是特別值得注意,但破壞本身“是可見(jiàn)的、有意義的,而且許多政府官員都能親身感受到。”他說(shuō)。
Kaseya事件使人們(再次)將注意力集中在供應(yīng)鏈風(fēng)險(xiǎn)上
IT管理軟件供應(yīng)商Kaseya 7 月初發(fā)生的安全事件,再次凸顯了組織面臨來(lái)自軟件供應(yīng)商和IT供應(yīng)鏈中其他供應(yīng)商的日益嚴(yán)重的威脅。
該事件后來(lái)歸因于REvil/Sodinokibi 勒索軟件組織的一個(gè)附屬機(jī)構(gòu),其中涉及威脅行為者利用Kaseya的虛擬系統(tǒng)管理員 (VSA) 技術(shù)中的三個(gè)漏洞,而許多托管服務(wù)提供商 (MSP) 使用該技術(shù)來(lái)管理其客戶(hù)的網(wǎng)絡(luò)。攻擊者利用這些漏洞,使用Kaseya VSA在屬于MSP下游客戶(hù)的數(shù)千個(gè)系統(tǒng)上分發(fā)勒索軟件。
Huntress Labs的一項(xiàng)調(diào)查顯示,攻擊者在最初的利用活動(dòng)之后不到兩個(gè)小時(shí),就在屬于多個(gè)MSP的眾多公司的系統(tǒng)上安裝了勒索軟件。
該事件促使美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)出多個(gè)威脅警報(bào),并為MSP及其客戶(hù)提供指導(dǎo)。
Kaseya攻擊凸顯了威脅行為者對(duì)一次性破壞/危及許多目標(biāo)(如軟件供應(yīng)商和服務(wù)提供商)的興趣日益增長(zhǎng)。雖然此類(lèi)攻擊已持續(xù)多年,但 太陽(yáng)風(fēng)(SolarWinds)事件和Kaseya事件,凸顯了威脅日益嚴(yán)重。
Vectra AI首席技術(shù)官奧立佛(Oliver Tavakoli)表示:“Kaseya 攻擊雖然不是典型的供應(yīng)鏈攻擊——因?yàn)樗昧艘巡渴鸬腒aseya VSA 服務(wù)器的漏洞——但MSP向其客戶(hù)分發(fā)軟件的Kaseya機(jī)制是攻擊的大范圍和快速的關(guān)鍵。”
Exchange Server (ProxyLogon) 攻擊引發(fā)修補(bǔ)狂潮
3月初,當(dāng)微軟針對(duì)其Exchange Server技術(shù)中的四個(gè)漏洞(統(tǒng)稱(chēng)為 ProxyLogon)發(fā)布緊急修復(fù)程序時(shí),引發(fā)了一場(chǎng)前所未有的修補(bǔ)狂潮。
一些安全供應(yīng)商的后續(xù)調(diào)查表明,幾個(gè)威脅組織在補(bǔ)丁發(fā)布之前就已經(jīng)瞄準(zhǔn)了這些漏洞,并且在微軟披露漏洞后,許多其他組織也加入了這一行動(dòng)。攻擊數(shù)量如此之多,以至于F-Secure曾將全球易受攻擊的 Exchange Server描述為“被黑客入侵的速度比我們想象的要快”。
當(dāng)鏈接在一起時(shí),ProxyLogon缺陷為威脅行為者提供了一種未經(jīng)身份驗(yàn)證的遠(yuǎn)程訪問(wèn)Exchange服務(wù)器的方法。
“它本質(zhì)上是一個(gè)電子版本,從公司的主要入口上移除所有門(mén)禁、警衛(wèi)和鎖,這樣任何人都可以走進(jìn)去,”F-Secure 當(dāng)時(shí)指出。
在漏洞披露后不到三周,微軟報(bào)告稱(chēng),全球約92%的Exchange服務(wù)IP已被修補(bǔ)或緩解。但是,對(duì)攻擊者在修補(bǔ)之前安裝在Exchange Server上的 Web shell的擔(dān)憂(yōu)揮之不去,促使美國(guó)司法部采取前所未有的措施,命令FBI主動(dòng)從后門(mén)Exchange Server中刪除 Web shell。
SANS的佩斯卡托(Pescatore)說(shuō),Exchange Server的缺陷在很多方面都是壞消息。與Exchange Online相比,微軟在針對(duì)本地安裝進(jìn)行修復(fù)方面的速度相對(duì)較慢,這使得問(wèn)題更加嚴(yán)重。“與開(kāi)發(fā)適用于不同的本地環(huán)境的修復(fù)程序相比,SaaS提供商能夠更快地屏蔽其服務(wù)中的代碼弱點(diǎn),是有原因的,”佩斯卡托指出。
PrintNightmare 強(qiáng)調(diào)了 Windows Print Spooler技術(shù)的持續(xù)風(fēng)險(xiǎn)
很少有漏洞能比PrintNightmare(CVE-2021-34527)更突出微軟的Windows Print Spooler技術(shù)給企業(yè)帶來(lái)的持續(xù)風(fēng)險(xiǎn)。該漏洞于7月披露,與Spooler服務(wù)中用于安裝打印機(jī)驅(qū)動(dòng)程序系統(tǒng)的特定功能有關(guān)。該問(wèn)題影響了所有Windows版本,并為經(jīng)過(guò)身份驗(yàn)證的攻擊者提供了一種在存在漏洞的任何系統(tǒng)上遠(yuǎn)程執(zhí)行惡意代碼的方法。這包括關(guān)鍵的Active Directory管理系統(tǒng)和核心域控制器。微軟警告稱(chēng),對(duì)該漏洞的利用,會(huì)導(dǎo)致環(huán)境的機(jī)密性、完整性和可用性受到損失。
微軟對(duì)PrintNightmare的披露促使CISA、CERT協(xié)調(diào)中心 (CC) 和其他機(jī)構(gòu)發(fā)出緊急建議,敦促組織迅速禁用關(guān)鍵系統(tǒng)上的Print Spooler 服務(wù)。最初的警報(bào)提到了微軟在6月份針對(duì)Print Spooler中幾乎相同的漏洞發(fā)布的補(bǔ)丁,稱(chēng)該補(bǔ)丁對(duì)PrintNightmare無(wú)效。微軟后來(lái)澄清說(shuō),雖然PrintNightmare與6月份的缺陷相似,但它需要單獨(dú)的補(bǔ)丁。
PrintNightmare是今年微軟長(zhǎng)期存在缺陷的Print Spooler 技術(shù)中、幾個(gè)必須修補(bǔ)的缺陷中最嚴(yán)重的一個(gè)。
“PrintNightmare變得很重要,因?yàn)樵撀┒创嬖谟趲缀趺總€(gè) Windows系統(tǒng)上都安裝的‘Print Spoole’服務(wù)中,”Coalfire技術(shù)和企業(yè)副總裁安德魯(Andrew Barratt) 說(shuō)。他還補(bǔ)充說(shuō),這意味著攻擊者有一個(gè)巨大的攻擊面作為目標(biāo)。“禁用這些服務(wù)并不總是可行的,因?yàn)樾枰鼇?lái)促進(jìn)打印”。
Accellion入侵是一次破壞/多次破壞攻擊趨勢(shì)的一個(gè)例子
美國(guó)、加拿大、新加坡、荷蘭和其他國(guó)家/地區(qū)的多個(gè)組織在2月份遭遇了嚴(yán)重的數(shù)據(jù)泄露,因?yàn)樗麄兪褂玫膩?lái)自Accellion的文件傳輸服務(wù)存在漏洞。零售巨頭克羅格是最大的受害者之一,其藥房和診所服務(wù)的員工和數(shù)百萬(wàn)客戶(hù)的數(shù)據(jù)被暴露。其他著名的受害者包括眾達(dá)律師事務(wù)所、新加坡電信、華盛頓州和新西蘭儲(chǔ)備銀行。
Accellion將這個(gè)問(wèn)題描述為與其近乎過(guò)時(shí)的文件傳輸設(shè)備技術(shù)中的零日漏洞有關(guān),當(dāng)時(shí)許多組織正在使用該技術(shù)在其內(nèi)部和外部傳輸大型文件。安全供應(yīng)商Mandiant表示,其調(diào)查顯示,攻擊者使用了 Accellion 技術(shù)中多達(dá)四個(gè)零日漏洞作為攻擊鏈的一部分。安全供應(yīng)商后來(lái)將這次攻擊歸因于與 Clop 勒索軟件家族和FIN11(一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的APT組織)有聯(lián)系的威脅行為者。
Digital Shadows的網(wǎng)絡(luò)威脅情報(bào)分析師伊凡(Ivan Righi) 表示:“Accellion攻擊是2021年初的重大事件,因?yàn)樗故玖死账鬈浖?yīng)鏈攻擊的危險(xiǎn)性。” “Clop勒索軟件團(tuán)伙能夠利用Accellion的文件傳輸設(shè)備 (FTP) 軟件中的零日漏洞一次鎖定大量公司,這大大減少了實(shí)現(xiàn)初始訪問(wèn)所需的工作和精力。”
佛羅里達(dá)水務(wù)公司黑客事件提醒人們,關(guān)鍵基礎(chǔ)設(shè)施容易受到網(wǎng)絡(luò)攻擊
今年2月,一名攻擊者闖入佛羅里達(dá)州奧茲馬市一家水處理廠的系統(tǒng),試圖改變一種名為堿液的化學(xué)物質(zhì)的含量,這種化學(xué)物質(zhì)用于控制水的酸度。當(dāng)入侵者試圖將堿液水平提高111倍時(shí)被發(fā)現(xiàn);在造成任何損壞之前,更改很快就被逆轉(zhuǎn)了。
隨后對(duì)該事件的分析顯示,入侵者獲得了對(duì)屬于水處理設(shè)施操作員的系統(tǒng)的訪問(wèn)權(quán)限,可能使用被盜的TeamViewer憑據(jù)遠(yuǎn)程登錄了該系統(tǒng)。此次入侵,使美國(guó)關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊面前的持續(xù)脆弱性暴露無(wú)遺,特別是因?yàn)樗砻魅肭诛嬘盟幚碓O(shè)施的監(jiān)控和數(shù)據(jù)采集 (SCADA) 系統(tǒng)是多么的簡(jiǎn)單。
這一事件促使CISA向關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商發(fā)出警告,提醒他們注意在環(huán)境中使用桌面共享軟件和過(guò)時(shí)或接近報(bào)廢的軟件(如Windows 7)的危險(xiǎn)。CISA表示,其建議是基于其觀察結(jié)果——以及FBI等其他機(jī)構(gòu)的觀察結(jié)果——網(wǎng)絡(luò)犯罪分子通過(guò)此類(lèi)技術(shù)瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)。
“佛羅里達(dá)水務(wù)公司事件意義重大,因?yàn)樗庙懥司姡嵝讶藗児檬聵I(yè)很容易受到損害。”BreakQuest首席技術(shù)官杰克·威廉姆斯(Jake Williams)說(shuō)。
(來(lái)源:darkreading。本文參考內(nèi)容均來(lái)源于網(wǎng)絡(luò),僅供讀者了解和掌握相關(guān)情況參考,不用于任何商業(yè)用途。侵刪)
