回顾:2021年度七大代表性网络安全事件
发布时间:2022-01-07 14:42:09来源:安全牛
2021年底公开暴露的Log4j漏洞迅速成为该年影响力最大的安全威胁。然而,这并不是企业安全团队面临的唯一难题,据身份盗窃资源中心(ITRC)的数据显示,仅2021年前三季度公开报告的数据泄露事件就多达1,291起;Redscan对美国国家通用漏洞数据库(NVD)的一项新调研显示,2021年披露的漏洞数量(18,439个)比以往任何一年都多。更糟糕的是,其中绝大部分都可以被黑客甚至技术能力有限的攻击者利用。
以下列出了2021年最具代表性的7起网络安全事件,其中包含数据泄露、攻击和漏洞等。
1.震惊业界的Log4j漏洞
2021年12月初,Log4j日志框架中一个严重的远程代码执行漏洞震惊了整个行业,可以说,近年来很少有其他漏洞具备如此震慑力。这种担忧源于这样一个事实,即该工具在企业运营(OT)、软件即服务(SaaS)和云服务提供商(CSP)环境中普遍存在,且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、PC和任何其他设备的方法,包括存在日志工具的关键运营(OT)和工业控制系统(ICS)环境中的设备。
该漏洞(CVE-2021-44228)存在于从Log4j2.0-beta9到Log4j2.14.1版本中,可以通过多种方式利用。Apache基金会最初发布了该工具的新版本(ApacheLog4j2.15.0)试图解决问题,但此后不久又不得不发布另一个更新,因为第一个更新没能完全防止拒绝服务(DoS)攻击和数据盗窃。
截至2021年12月17日,暂未出现与此漏洞相关的重大数据泄露事件。然而,安全专家坚信攻击者一定会利用该漏洞,并在可预见的未来继续这样做,因为企业很难找到易受攻击系统的每一个实例并有效防范该漏洞。许多安全厂商报告了针对各种IT和OT系统(包括服务器、虚拟机、移动设备、人机界面系统和SCADA设备等)的广泛扫描活动,其中许多都涉及尝试投币挖掘工具、远程访问木马、勒索软件和Webshell;涉及的恶意行为者则包括已知的出于经济动机的威胁组织,以及来自伊朗和土耳其等国家支持的APT组织。
2.ColonialPipeline攻击将勒索软件提升至国家安全
2021年5月,针对美国管道运营商ColonialPipeline的勒索软件攻击占据了新闻头条,此举对美国广大民众造成了广泛影响:中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的短暂性天然气短缺。这起事件也成功将勒索软件提升为国家安全级别的问题,并引起了白宫的关注。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。
据悉,此次事件的原因是黑客组织使用了被盗的旧VPN凭据获得了对ColonialPipeline网络的访问权限。这种攻击方法本身并非特别值得注意,但破坏本身却是可见的、有意义的,而且许多政府官员都能亲身感受到。这也促使美国两党和政府提高了使用可重用密码等问题的门槛。虽说高度关注可能不会产生立竿见影的进展,但它已经推动了国家层面对网络安全的关注。
3.Kaseya事件将人们的注意力集中在供应链风险上
2021年7月初,IT管理软件供应商Kaseya发生的安全事件,再次凸显了企业面临来自IT供应链中供应商的威胁正日益加剧。
该事件后来归因于REvil/Sodinokibi勒索软件组织的一个附属机构,其中涉及威胁行为者利用Kaseya虚拟系统管理员(VSA)技术中的三个漏洞,而许多托管服务提供商(MSP)使用该技术来管理其客户的网络。攻击者利用这些漏洞,使用KaseyaVSA在属于MSP下游客户的数千个系统上分发勒索软件。
Kaseya攻击凸显了威胁行为者对一次性破坏多个目标(如软件供应商和服务提供商)的兴趣日益浓厚。虽然这不是典型的供应链攻击——因为它利用了已部署的KaseyaVSA服务器漏洞,但MSP向其客户分发软件的Kaseya机制是扩大攻击范围和速度的关键。该事件促使美国网络安全和基础设施安全局(CISA)发出多个威胁警报,并为MSP及其客户提供指导。
4.ExchangeServer攻击引发修补狂潮
2021年3月初,当微软针对其ExchangeServer技术中的四个漏洞(统称为“ProxyLogon”)发布紧急修复程序时,引发了一场前所未有的修补狂潮。
ProxyLogon漏洞为威胁行为者提供了一种未经身份验证的远程访问Exchange服务器的方法。它本质上是一个电子版本,从企业的主要入口上移除所有访问控制、警卫和锁,这样任何人都可以进入。一些安全厂商的调查表明,几个威胁组织在补丁发布之前就已经瞄准了这些漏洞,并且在微软披露漏洞后,许多其他组织也加入了这一行动。攻击数量如此之多,以至于F-Secure称“ExchangeServer被黑客入侵的速度比我们想象的要快”。
与许多其他供应商一样,微软当时也建议企业假设自己已被破坏并做出响应。在漏洞披露后不到三周,微软报告称,全球约92%的Exchange服务IP已被修补或缓解。但是,企业对攻击者在修补之前安装在ExchangeServer上的Webshell的担忧仍然挥之不去,促使美国司法部采取了前所未有的措施,命令FBI主动从后门ExchangeServer中删除Webshell。
5.PrintNightmare强调WindowsPrintSpooler技术的持续风险
很少有漏洞能比PrintNightmare(CVE-2021-34527)更能反映微软的WindowsPrintSpooler技术给企业带来的持续风险。该漏洞于2021年7月披露,与Spooler服务中用于安装打印机驱动程序系统的特定功能有关。该问题影响了所有Windows版本,并为经过身份验证的攻击者提供了一种在任何存在漏洞的系统上远程执行恶意代码的方法。这包括关键的ActiveDirectory管理系统和核心域控制器。微软警告称,对该漏洞的利用会导致环境的机密性、完整性和可用性受损。
微软对PrintNightmare的披露促使CISA、CERT协调中心(CC)和其他机构发布紧急建议,敦促企业迅速禁用关键系统上的PrintSpooler服务。PrintNightmare是微软长期存在缺陷的PrintSpooler技术中、几个必须修补的缺陷中较严重的一个。PrintNightmare之所以非常重要,是因为该漏洞存在于几乎每个Windows系统上都会安装的“PrintSpoole”服务中。这意味着攻击者有一个巨大的攻击面作为目标,而且禁用这些服务并不总是可行的,因为需要它来方便打印。
6.Accellion入侵是多次破坏攻击趋势的例子
美国、加拿大、新加坡、荷兰和其他国家/地区多个组织在2021年2月遭遇了严重的数据泄露事件,因为他们使用的Accellion文件传输服务存在漏洞。零售企业Kroger是最大的受害者之一,其药房和诊所员工和数百万客户的数据惨遭泄露。其他著名的受害者还包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。
Accellion将该问题描述为“与其近乎过时的文件传输设备技术中的零日漏洞有关”,当时许多组织正在使用该技术在其内部和外部传输大型文件。安全厂商Mandiant的调查显示,攻击者使用Accellion技术中4个零日漏洞作为攻击链的一部分。Mandiant后来将这次攻击归因于与Clop勒索软件家族和FIN11(一个出于经济动机的APT组织)有关联的威胁行为者。
DigitalShadows网络威胁情报分析师IvanRighi表示,Accellion攻击是2021年初的重大安全事件,因为它展示了勒索软件供应链攻击的危险性。Clop勒索软件团伙能够利用Accellion文件传输设备(FTP)软件中的零日漏洞一次锁定众多企业,这大大减少了攻击者实现初始访问所需的工作和精力。
7.佛罗里达水务公司攻击事件提醒人们注意关键基础设施
2021年2月,一名攻击者入侵佛罗里达州奥兹马市一家水处理厂的系统,并试图改变一种名为碱液的化学物质浓度,该化学物质用于控制水的酸度。当入侵者试图将碱液水平提高111倍时被发现,在其造成损坏之前,很快得到了恢复。随后对该事件的分析显示,入侵者获得了属于水处理设施操作员的系统访问权限,可能使用被盗的TeamViewer凭据远程登录了该系统。
此次入侵使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗,再次展现了入侵饮用水处理设施的监控和数据采集(SCADA)系统是多么简单的事情。该事件还促使CISA警告关键基础设施运营商,在环境中使用桌面共享软件和过时或接近报废软件(如Windows7)的危险性。
参考链接:
https://www.darkreading.com/attacks-breaches/6-of-the-most-impactful-cybersecurity-incidents-of-2021
相关阅读
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
