2021年12月9日披露的Log4j2漏洞已迅速成为2021年最重要的安全威胁之一。然而,这并不是安全团队全年要应对的唯一问题。与往年一样,2021年也发生了影响许多组织的重大网络安全事件。本文盘点了2021年最具影响力的十大网络安全事件。一、Log4Shell:震惊业界的Log4j2漏洞12月9日,Log4j2日志框架发生严重的远程代码执行漏洞,震惊整个行业。这种担忧源于这样一个事实,即Log4j2工具在企业、运营技术(OT)、软件即服务(SaaS)和云服务提供商(CSP)环境中被普遍使用并且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、PC和任何其他设备的方法,包括存在日志工具的关键OT和工业控制系统(ICS)环境中的设备。该漏洞(CVE-2021-44228)存在于Log4j2.0到Log4j2.15.0-RC1版本中,可以通过多种方式被利用。Apache基金会最初发布了该工具的新版本(ApacheLog4j2.15.0)来解决该问题,但此后不久不得不发布另一个更新,因为第一个更新没有完全防止拒绝服务(DoS)攻击和数据窃取.据媒体报道,近日比利时国防部网络遭到不明攻击者成功攻击,攻击者利用Apachelog4j2中的一个巨大漏洞进行攻击。安全专家毫不怀疑,攻击者将利用该漏洞并在可预见的未来继续这样做,因为组织很难找到易受攻击工具的每个实例并加以防范。2、美国ColonialPipeline感染勒索软件,主要输油管道关闭5月,美国最大的输油管道公司ColonialPipeline遭到勒索软件攻击,5500英里的输油管道被关闭向下。ColonialPipeline每天从德克萨斯州向东海岸和纽约输送250万桶石油,覆盖了美国东海岸45%的燃料供应。这在其历史上尚属首次。此举中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的天然气暂时短缺。一位美国官员表示,勒索软件攻击与总部位于俄罗斯的DarkSide组织有关。DarkSide使用窃取的旧VPN凭据获得了对ColonialPipeline网络的访问权限。SANSInstitute新兴安全趋势主管JohnPescatore表示,攻击方法本身并不是特别值得注意,但漏洞本身“是可见的、有意义的,并且在许多政府职位上都能感受到,”他说。攻击的后果将勒索软件升级为国家安全问题,并引发了白宫的回应。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。3、Kaseya公司遭勒索软件攻击,影响全球200家企业,再次聚焦供应链风险7月初,IT管理软件供应商Kaseya系统被黑。黑客使用该公司的VSA产品感染用户,然后使用勒索软件攻击这些用户。受害者中有瑞典杂货连锁店Coop,它是Kaseya的客户之一,该事件现已导致Coop的500家商店关闭。信息安全公司Huntress表示,至少有200家企业受到影响。该事件后来归因于REvil/Sodinokibi勒索软件组织的附属机构,涉及威胁行为者利用Kaseya的虚拟系统管理员(VSA)技术中的一组三个漏洞,许多托管服务提供商(MSP)使用这些漏洞来管理其客户'网络。攻击者利用这些漏洞利用KaseyaVSA在属于MSP下游客户的数千个系统上分发勒索软件。Kaseya的安全事件再次凸显了组织面临来自软件供应商和IT供应链中其他供应商的日益增长的威胁。虽然此类攻击已持续多年,但SolarWinds和Kaseya事件凸显了日益增长的威胁。该事件促使美国网络安全和基础设施安全局(CISA)发出多个威胁警报,并为MSP及其客户提供指导。4.MicrosoftExchangeServer的ProxyLogon和ProxyShell漏洞攻击相继发生微软的MicrosoftExchangeServer是一个电子邮件、通讯录、日程、日历和协作平台。当微软在3月初发布针对其ExchangeServer技术(统称为ProxyLogon)中四个漏洞的紧急修复程序时,此举引发了前所未有的补丁狂潮。ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)引起,可同时利用这些漏洞创建预认证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效帐户凭据的情况下接管服务器。这使他们能够访问电子邮件通信系统,他们也有机会上传webshel??l文件,他们可以进一步攻击网络,例如部署勒索软件等。一些安全厂商的后续调查表明,有几个威胁组织已经在发布补丁之前就针对这些漏洞进行了攻击,在微软披露这些漏洞后,许多其他公司也加入了这项工作。攻击次数如此之多,以至于F-Secure曾将世界各地易受攻击的Exchange服务器描述为“被黑客攻击的速度比我们想象的要快”。而且,虽然官方已经发布了补丁,但是对于那些被攻陷的电脑来说,并没有什么影响。对攻击者在修补之前在Exchange服务器上安装WebShell的担忧挥之不去,促使美国司法部采取前所未有的措施,命令FBI主动从后门Exchange服务器中删除WebShell。ProxyShell其实是一系列的三个漏洞,分别是微软在4月份修补的CVE-2021-34473和CVE-2021-34523,以及5月份修补的CVE-2021-31207。这三个漏洞是由台湾安全公司天芯科技(Devcore)披露的。分别属于远程程序攻击漏洞、权限扩展漏洞和安全功能绕过漏洞。它们还影响MicrosoftExchangeServer2010、2013、2016和2019。ProxyShell是Exchange服务器对路径过滤不准确导致的路径混乱而产生的SSRF,然后允许攻击者访问PowerShell端点。在PowerShell端点,可以利用RemotePowerShell将邮件信息打包成外部文件,攻击者可以构造恶意邮件内容,利用文件写入方式编写webshel??l,实现命令执行。ProxyShell漏洞比ProxyLogon漏洞更严重,因为ProxyShell更容易被利用,而且许多组织基本上未修补。安全公司HuntressLabs的研究人员发现,攻击者在1,900多台受感染的MicrosoftExchange服务器上部署了140多个Webshel??l。通过利用ProxyLogon和ProxyShell,攻击者能够绕过常规检查以避免被阻止。Squirrelwaffle攻击应该提醒用户注意试图掩盖恶意电子邮件和文件的新策略。来自受信任联系人的电子邮件也不能保证电子邮件中包含的任何链接或文件都是安全的。5.PrintNightmare另一个Windows漏洞7月,Microsoft推出了紧急Windows修复程序,以修复WindowsPrintSpooler服务中的一个严重缺陷。该漏洞称为“PrintNightmare”。PrintNightmare的漏洞编号为CVE-2021-34527,被评为严重漏洞,因为攻击者可以在受影响的机器上以系统级权限远程执行代码。它允许PrintSpooler服务为远程代码执行执行非法文件操作。能够以SYSTEM权限执行任意代码,通过动态加载第三方二进制文件,远程攻击者可以利用该漏洞完全接管系统。该漏洞也是“2021年应该及时处理”的漏洞。由于WindowsPrintSpooler服务在Windows上默认运行,受此漏洞影响的操作系统包括Windows7和Windows2008,它们已停止支持它们。由于其严重性,微软已经发布了各种支持版本的紧急更新补丁,包括不再支持的系统(Windows7和Windows2008)的补丁。6.FloridaWaterHack,关键基础设施易受网络攻击2月,一名攻击者成功地远程侵入了位于佛罗里达州Oldsmar的一家水处理厂的系统。水。它是在入侵者试图将碱液浓度提高111倍时被发现的;没有损坏。后来对该事件的分析表明,入侵者获得了对属于水处理设施运营商的系统的访问权限,可能使用被盗的TeamViewer凭据远程登录系统。这一漏洞暴露了美国关键基础设施对网络攻击的持续脆弱性,特别是因为它表明入侵饮用水处理设施的监督控制和数据采集(SCADA)系统是多么容易。该事件促使CISA警告关键基础设施运营商注意在其环境中使用桌面共享软件和过时或接近报废软件(如Windows7)的危险。幸运的是,这次袭击没有成功。安全行业普遍认为,关键基础设施的网络安全问题和风险正从数字空间逼近物理空间,正处于爆发前夕!7.Accellion攻击,另一场供应链攻击2月,美国、加拿大、新加坡、荷兰等国家/地区的多个组织因使用Accellion的文件传输服务存在漏洞而遭受严重数据泄露。零售巨头克罗格是最大的受害者之一,其药房和诊所服务员工以及数百万客户的数据都暴露在外。其他著名的受害者包括众达、新加坡电信、华盛顿州和新西兰储备银行。Accellion将该问题描述为与其几乎过时的文件传输设备技术中的零日漏洞有关,当时许多组织正在使用该技术在其组织内外传输大型文件。根据安全提供商Mandiant的调查,攻击者在2020年12月和2021年1月使用了不同的漏洞。他们首先在12月滥用了CVE-2021-27101和CVE-2021-27104,然后在1月利用了CVE-2021-27102和CVE-2021-27103来攻击Accellion用户。经过介入调查,发现了两个新的FTA漏洞CVE-2021-27730和CVE-2021-27731。该攻击归因于与Cl0p勒索软件家族和FIN11(一个出于经济动机的APT组织)相关的威胁行为者。这次事故也促使Accellion对FTA的维护计划做出重大决定——他们决定在2021年4月30日提前终止FTA的产品生命周期(EOL),并敦促所有FTA用户转用KiteworksContentFirewall尽快地。声明中多次提到FTA是20多年的老产品,产品生命周期临近,建议用户转用目前的KiteworksContentFirewall。“Accellion攻击是2021年初的一件大事,因为它展示了勒索软件供应链攻击的危险。“Cl0p勒索软件团伙能够利用Accellion的文件传输设备[FTP]软件中的零日漏洞同时攻击大量公司,这大大减少了实现初始访问所需的工作和精力。8.宏碁遭到攻击今年3月,总部位于台湾的跨国电脑制造商宏碁被勒索软件攻击勒索时,攻击者REvil组织公布了入侵宏碁系统的截图,并索要5000万美元,这是迄今为止已知的最大网络犯罪勒索。,网络罪犯利用MicrosoftExchange攻击造成的漏洞,宏碁被巨额勒索震惊,但没有付款,因此REvil在暗网上公布了被盗数据。包括宏碁的财务表格、银行余额、银行通讯文件等机密资料。9.戴尔BIOS升级软件存在漏洞:可远程执行代码,影响数亿台计算机。5月,安全研究机构Eclypsium近日发现,戴尔的远程BIOS升级软件存在严重漏洞,允许攻击者劫持BIOS下载请求,使用修改后的文件进行攻击。这将使黑客能够控制系统的启动过程并破坏操作系统。该驱动程序漏洞存在于名为DBUtil的文件中,统称为CVE-2021-21551。其中四个漏洞可用于提升权限,其余一个有被用于DoS攻击的风险。在收到Sentinel的报告后,戴尔已经更新了补丁,填补了漏洞。据他们估计,自2009年以来,大约有380款产品受到影响,如果不修复,数亿台计算机设备可能会继续面临风险。10.LinkedIn数据泄露,又见数据泄露在4月份的一次数据抓取事件影响了5亿LinkedIn会员后,6月份再次发生了该事件。自称为“上帝用户TomLiner”的黑客。在RaidForumsPost上发布了一条消息,其中包含7亿条LinkedIn待售记录。该广告包括100万条记录的样本作为“证据”。PrivacySharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据来源是什么。据LinkedIn称,没有发生网络漏洞。
