回顾:2021年度七大代表性网络安全事件
日期:2022年01月07日 阅:106
2021年底公开暴露的 Log4j 漏洞迅速成为该年影响力最大的安全威胁。然而,这并不是企业安全团队面临的唯一难题,据身份盗窃资源中心( ITRC )的数据显示,仅 2021 年前三季度公开报告的数据泄露事件就多达 1,291 起;Redscan 对美国国家通用漏洞数据库( NVD )的一项新调研显示, 2021 年披露的漏洞数量( 18,439 个)比以往任何一年都多。更糟糕的是,其中绝大部分都可以被黑客甚至技术能力有限的攻击者利用。
以下列出了 2021 年最具代表性的 7 起网络安全事件,其中包含数据泄露、攻击和漏洞等。
1. 震惊业界的 Log4j 漏洞
2021年12月初, Log4j 日志框架中一个严重的远程代码执行漏洞震惊了整个行业,可以说,近年来很少有其他漏洞具备如此震慑力。这种担忧源于这样一个事实,即该工具在企业运营( OT )、软件即服务( SaaS )和云服务提供商( CSP )环境中普遍存在,且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、 PC 和任何其他设备的方法,包括存在日志工具的关键运营( OT)和工业控制系统( ICS )环境中的设备。
该漏洞( CVE-2021-44228 )存在于从 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通过多种方式利用。Apache 基金会最初发布了该工具的新版本( Apache Log4j 2.15.0 )试图解决问题,但此后不久又不得不发布另一个更新,因为第一个更新没能完全防止拒绝服务( DoS )攻击和数据盗窃。
截至 2021 年 12 月 17 日,暂未出现与此漏洞相关的重大数据泄露事件。然而,安全专家坚信攻击者一定会利用该漏洞,并在可预见的未来继续这样做,因为企业很难找到易受攻击系统的每一个实例并有效防范该漏洞。许多安全厂商报告了针对各种 IT 和 OT 系统(包括服务器、虚拟机、移动设备、人机界面系统和 SCADA 设备等)的广泛扫描活动,其中许多都涉及尝试投币挖掘工具、远程访问木马、勒索软件和 Web shell ;涉及的恶意行为者则包括已知的出于经济动机的威胁组织,以及来自伊朗和土耳其等国家支持的 APT 组织。
2. Colonial Pipeline 攻击将勒索软件提升至国家安全
2021 年 5 月,针对美国管道运营商 Colonial Pipeline 的勒索软件攻击占据了新闻头条,此举对美国广大民众造成了广泛影响:中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的短暂性天然气短缺。这起事件也成功将勒索软件提升为国家安全级别的问题,并引起了白宫的关注。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。
据悉,此次事件的原因是黑客组织使用了被盗的旧 VPN 凭据获得了对 Colonial Pipeline 网络的访问权限。这种攻击方法本身并非特别值得注意,但破坏本身却是可见的、有意义的,而且许多政府官员都能亲身感受到。这也促使美国两党和政府提高了使用可重用密码等问题的门槛。虽说高度关注可能不会产生立竿见影的进展,但它已经推动了国家层面对网络安全的关注。
3. Kaseya 事件将人们的注意力集中在供应链风险上
2021 年 7 月初, IT 管理软件供应商 Kaseya 发生的安全事件,再次凸显了企业面临来自 IT 供应链中供应商的威胁正日益加剧。
该事件后来归因于 REvil/Sodinokibi 勒索软件组织的一个附属机构,其中涉及威胁行为者利用 Kaseya 虚拟系统管理员( VSA )技术中的三个漏洞,而许多托管服务提供商( MSP )使用该技术来管理其客户的网络。攻击者利用这些漏洞,使用 Kaseya VSA 在属于 MSP 下游客户的数千个系统上分发勒索软件。
Kaseya 攻击凸显了威胁行为者对一次性破坏多个目标(如软件供应商和服务提供商)的兴趣日益浓厚。虽然这不是典型的供应链攻击——因为它利用了已部署的 Kaseya VSA 服务器漏洞,但 MSP 向其客户分发软件的 Kaseya 机制是扩大攻击范围和速度的关键。该事件促使美国网络安全和基础设施安全局( CISA )发出多个威胁警报,并为 MSP 及其客户提供指导。
4. Exchange Server 攻击引发修补狂潮
2021年3月初,当微软针对其 Exchange Server 技术中的四个漏洞(统称为“ ProxyLogon ”)发布紧急修复程序时,引发了一场前所未有的修补狂潮。
ProxyLogon 漏洞为威胁行为者提供了一种未经身份验证的远程访问 Exchange 服务器的方法。它本质上是一个电子版本,从企业的主要入口上移除所有访问控制、警卫和锁,这样任何人都可以进入。一些安全厂商的调查表明,几个威胁组织在补丁发布之前就已经瞄准了这些漏洞,并且在微软披露漏洞后,许多其他组织也加入了这一行动。攻击数量如此之多,以至于 F-Secure 称“ Exchange Server 被黑客入侵的速度比我们想象的要快”。
与许多其他供应商一样,微软当时也建议企业假设自己已被破坏并做出响应。在漏洞披露后不到三周,微软报告称,全球约 92% 的 Exchange 服务 IP 已被修补或缓解。但是,企业对攻击者在修补之前安装在 Exchange Server 上的 Web shell 的担忧仍然挥之不去,促使美国司法部采取了前所未有的措施,命令 FBI 主动从后门 Exchange Server 中删除 Web shell 。
5. PrintNightmare 强调 Windows Print Spooler 技术的持续风险
很少有漏洞能比 PrintNightmare ( CVE-2021-34527 )更能反映微软的 Windows Print Spooler 技术给企业带来的持续风险。该漏洞于 2021 年 7 月披露,与 Spooler 服务中用于安装打印机驱动程序系统的特定功能有关。该问题影响了所有 Windows 版本,并为经过身份验证的攻击者提供了一种在任何存在漏洞的系统上远程执行恶意代码的方法。这包括关键的 Active Directory 管理系统和核心域控制器。微软警告称,对该漏洞的利用会导致环境的机密性、完整性和可用性受损。
微软对 PrintNightmare 的披露促使 CISA 、 CERT 协调中心( CC )和其他机构发布紧急建议,敦促企业迅速禁用关键系统上的 Print Spooler 服务。PrintNightmare 是微软长期存在缺陷的 Print Spooler 技术中、几个必须修补的缺陷中较严重的一个。PrintNightmare 之所以非常重要,是因为该漏洞存在于几乎每个 Windows 系统上都会安装的“ Print Spoole ”服务中。这意味着攻击者有一个巨大的攻击面作为目标,而且禁用这些服务并不总是可行的,因为需要它来方便打印。
6. Accellion 入侵是多次破坏攻击趋势的例子
美国、加拿大、新加坡、荷兰和其他国家/地区多个组织在 2021 年 2 月遭遇了严重的数据泄露事件,因为他们使用的 Accellion 文件传输服务存在漏洞。零售企业 Kroger 是最大的受害者之一,其药房和诊所员工和数百万客户的数据惨遭泄露。其他著名的受害者还包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。
Accellion 将该问题描述为“与其近乎过时的文件传输设备技术中的零日漏洞有关”,当时许多组织正在使用该技术在其内部和外部传输大型文件。安全厂商 Mandiant 的调查显示,攻击者使用 Accellion 技术中 4 个零日漏洞作为攻击链的一部分。Mandiant 后来将这次攻击归因于与 Clop 勒索软件家族和 FIN11 (一个出于经济动机的 APT 组织)有关联的威胁行为者。
Digital Shadows 网络威胁情报分析师 Ivan Righi 表示, Accellion 攻击是 2021 年初的重大安全事件,因为它展示了勒索软件供应链攻击的危险性。Clop 勒索软件团伙能够利用 Accellion 文件传输设备( FTP )软件中的零日漏洞一次锁定众多企业,这大大减少了攻击者实现初始访问所需的工作和精力。
7. 佛罗里达水务公司攻击事件提醒人们注意关键基础设施
2021 年 2 月,一名攻击者入侵佛罗里达州奥兹马市一家水处理厂的系统,并试图改变一种名为碱液的化学物质浓度,该化学物质用于控制水的酸度。当入侵者试图将碱液水平提高 111 倍时被发现,在其造成损坏之前,很快得到了恢复。随后对该事件的分析显示,入侵者获得了属于水处理设施操作员的系统访问权限,可能使用被盗的 TeamViewer 凭据远程登录了该系统。
此次入侵使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗,再次展现了入侵饮用水处理设施的监控和数据采集( SCADA )系统是多么简单的事情。该事件还促使 CISA 警告关键基础设施运营商,在环境中使用桌面共享软件和过时或接近报废软件(如 Windows 7)的危险性。
参考链接:
https://www.darkreading.com/attacks-breaches/6-of-the-most-impactful-cybersecurity-incidents-of-2021