2021年12月9日公開的Log4j2漏洞迅速成為2021年最重要的安全威脅之一。但是，這并不是安全團隊全年必須努力解決的唯一問題。與往年一樣，2021年也發生了影響許多組織的大網絡安全事件。本文盤點了2021年最具影響力的十起網絡安全事件。

1. Log4Shell：震驚業界的Log4j2漏洞
  12月9日，Log4j2 日志記錄框架中的一個嚴重的遠程代碼執行漏洞震撼了整個行業。這種擔憂源于這樣一個事實，即Log4j2工具在企業、運營技術 (OT)、軟件即服務 (SaaS) 和云服務提供商 (CSP) 環境中普遍使用，而且相對容易利用。該漏洞為攻擊者提供了一種遠程控制服務器、PC 和任何其他設備的方法，包括存在日志工具的關鍵 OT 和工業控制系統 (ICS) 環境中的設備。
  該漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0到 Log4j 2.15.0-RC1 版本中，可以通過多種方式利用。Apache 基金會最初發布了該工具的新版本 (Apache Log4j 2.15.0) 來解決該問題，但此后不久就不得不發布另一個更新，因為第一個更新沒有完全防止拒絕服務 (DoS) 攻擊和數據盜竊。
  媒體報道稱，比利時國防部網絡最近受到不明攻擊者的成功攻擊，攻擊者利用Apache log4j2的巨大漏洞實施攻擊。
  安全專家毫不懷疑攻擊者會利用該漏洞，并在可預見的未來繼續這么做，因為組織很難找到易受攻擊工具的每一個實例并防范該漏洞。

2. 美國ColonialPipeline感染勒索軟件，主要輸油管停運
  5 月份，美國最大的燃料管道公司Colonial Pipeline遭到勒索軟件攻擊，5500英里輸油管停運。Colonial Pipeline每天從德克薩斯州輸送250萬桶石油到東海岸和紐約，該管道覆蓋了美國東海岸45％的燃料供應。這是其歷史上的第一次。此舉中斷了數百萬加侖燃料的運輸，并引發了美國東海岸大部分地區的暫時天然氣短缺。
  美國的某官員稱，此次勒索攻擊事件與總部位于俄羅斯的 DarkSide 的組織有關。DarkSide 使用被盜的舊 VPN 憑據獲得了對 Colonial Pipeline 網絡的訪問權限。SANS 研究所新興安全趨勢主管約翰·佩斯卡托 (John Pescatore) 說，攻擊方法本身并不是特別值得注意，但破壞本身“是可見的、有意義的，而且許多政府職位的人都能感受到，”他說。
  這次攻擊行為的影響將勒索軟件提升為國家安全級別的擔憂，并引發了白宮的反應。事件發生幾天后，拜登總統發布了一項行政命令，要求聯邦機構實施新的控制措施以加強網絡安全。

3. Kaseya公司被勒索軟件攻擊，影響全球200家企業，又一次將注意力集中在供應鏈風險上
  7 月初，IT 管理軟件供應商 Kaseya 的系統被黑客入侵。黑客通過使用該公司的VSA產品來感染用戶，然后再通過勒索軟件來攻擊這些用戶。
  受害者中有瑞典雜貨連鎖店Coop，這是Kaseya客戶之一，該事件目前已經導致Coop的500家商店店面關閉。信息安全公司Huntress稱，至少有200家企業受到影響。
  該事件后來歸因于 REvil/Sodinokibi 勒索軟件組織的一個附屬機構，其中涉及威脅行為者利用 Kaseya 的虛擬系統管理員 (VSA) 技術中的一組三個漏洞，許多托管服務提供商 (MSP) 使用這些漏洞來管理其客戶的網絡。攻擊者利用這些漏洞利用 Kaseya VSA 在屬于 MSP 下游客戶的數千個系統上分發勒索軟件。
  Kaseya發生的安全事件，再次凸顯了組織面臨來自軟件供應商和 IT 供應鏈中其他供應商的日益嚴重的威脅。雖然此類攻擊已持續多年，但SolarWinds事件 和 Kaseya事件凸顯了威脅日益嚴重。
  該事件促使美國網絡安全和基礎設施安全局 (CISA) 發出多個威脅警報，并為 MSP 及其客戶提供指導。

4. Microsoft Exchange Server的ProxyLogon和ProxyShell漏洞攻擊，此啟彼伏
  微軟的Microsoft Exchange Server，是一個電子郵件、聯系人、日程安排、日歷和協作平臺。
  3月初，當微軟針對其 Exchange Server 技術中的四個漏洞（統稱為 ProxyLogon）發布緊急修復程序時，此舉引發了一場前所未有的修補狂潮。
  ProxyLogon由四個漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)組成，這些漏洞可以被同時利用，用來創建一個預認證遠程代碼執行(RCE)漏洞。這意味著攻擊者可以在不知道任何有效賬戶憑證的情況下接管服務器。這使得他們能夠訪問電子郵件通信系統，他們還有機會上傳一個webshell文件，還可以更進一步地攻擊網絡，例如部署勒索軟件等。
  一些安全供應商的后續調查表明，幾個威脅組織在補丁發布之前就已經瞄準了這些漏洞，并且在微軟披露漏洞后，許多其他組織也加入了這一行動。攻擊數量如此之多，以至于 F-Secure 曾將全球易受攻擊的 Exchange Server描述為“被黑客入侵的速度比我們想象的要快”。
  而且，雖然官方已經發布了補丁，但這對于那些已經被入侵了的電腦毫無作用。出于對攻擊者在修補之前安裝在 Exchange Server 上的 Web shell 的擔憂揮之不去，促使美國司法部采取前所未有的措施，命令 FBI主動從后門的 Exchange Server 中刪除 Web shell。

  ProxyShell實際上是由3個漏洞所串聯，分別是微軟于4月修補的CVE-2021-34473與CVE-2021-34523，以及5月修補的CVE-2021-31207。
  這3個漏洞是由臺灣安全企業戴夫寇爾（Devcore）所披露，分別屬于遠程程序攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞，它們同時影響Microsoft Exchange Server 2010、2013、2016與2019。
  ProxyShell是利用了Exchange服務器對于路徑的不準確過濾導致的路徑混淆生成的SSRF，進而使攻擊者通過訪問PowerShell端點。而在PowerShell端點可以利用Remote PowerShell來將郵件信息打包到外部文件，而攻擊者可以通過構造惡意郵件內容，利用文件寫入寫出webshell，從而達成命令執行。
  ProxyShell漏洞比ProxyLogon漏洞更嚴重，因為ProxyShell更容易開采，而且很多組織基本上并未修補。安全公司Huntress Labs的研究人員發現，攻擊者在1,900多臺受感染的Microsoft Exchange服務器上部署了140多個Webshell。

  通過利用 ProxyLogon 和 ProxyShell，攻擊者能夠繞過通常的檢查來避免被阻止。Squirrelwaffle 攻擊應該讓用戶警惕新的策略，它們會想辦法掩蓋惡意郵件和文件。來自可信聯系人的電子郵件也不能保證無論什么鏈接或文件包含在電子郵件是安全的。

5. PrintNightmare 又一個Windows漏洞
  7月，微軟推出了一個緊急 Windows 修復補丁，以修復存在于 Windows Print Spooler 服務中的一個關鍵缺陷。該漏洞被稱之為“PrintNightmare”。
  PrintNightmare在漏洞編號為CVE-2021-34527，被評為關鍵漏洞，因為攻擊者可以在受影響機器上以系統級權限遠程執行代碼。它允許Print Spooler服務執行非法文件操作來遠程執行代碼。能夠以 SYSTEM 權限執行任意代碼，通過動態加載第三方二進制文件，遠程攻擊者利用該漏洞可以完全接管系統。這個漏洞同樣是“2021年最該及時處理“的一個漏洞。
  由于 Windows Print Spooler 服務在Windows上默認運行，受該漏洞影響的操作系統包括已經停止支持的Windows 7和Windows2008。因為其嚴重性，微軟發布了各種支持版本的緊急更新補丁，包括針對不再支持的系統（Windows7和Windows2008）的補丁。

6. 佛羅里達水務公司黑客事件，關鍵基礎設施容易受到網絡攻擊
  2月，一名攻擊者成功遠程闖入佛羅里達州奧爾茲馬爾市一家水處理廠的系統，試圖改變一種名為堿液的化學物質的含量，這種化學物質用于控制水的酸度。當入侵者試圖將堿液水平提高111倍時被發現；并未造成任何損壞。
  后來對該事件的分析顯示，入侵者獲得了對屬于水處理設施操作員的系統訪問權限，可能使用被盜的 TeamViewer 憑據遠程登錄該系統。此次入侵使美國關鍵基礎設施在網絡攻擊面前的持續脆弱性暴露無遺，特別是因為它表明入侵飲用水處理設施的監控和數據采集 (SCADA) 系統是多么的簡單。
  該事件促使 CISA警告關鍵基礎設施運營商，在環境中使用桌面共享軟件和過時或接近報廢的軟件（如 Windows 7）的危險。
  所幸攻擊未遂。安全行業普遍認為，關鍵基礎設施的網絡安全問題和風險正在由數字空間逼近物理空間，處于爆發的前夜！

7、Accellion攻擊，又是供應鏈攻擊
  2月，美國、加拿大、新加坡、荷蘭和其他國家/地區的多個組織遭遇了嚴重的數據泄露，因為他們使用的Accellion 的文件傳輸服務存在漏洞。零售巨頭克羅格是最大的受害者之一，其藥房和診所服務的員工和數百萬客戶的數據被暴露。其他著名的受害者包括眾達律師事務所、新加坡電信、華盛頓州和新西蘭儲備銀行。
  Accellion將這個問題描述為與其近乎過時的文件傳輸設備技術中的零日漏洞有關，當時許多組織正在使用該技術在其組織內部和外部傳輸大型文件。
  經安全供應商Mandiant調查，攻擊者分別在2020年12月與2021年1月，使用了不同的漏洞，他們先在12月濫用了CVE-2021-27101、CVE-2021 -27104，到了1月則是使用CVE-2021-27102、CVE-2021-27103，來對Accellion用戶發動攻擊。在介入調查后，又找到2個新的FTA漏洞CVE-2021-27730與CVE-2021-27731。
  這次攻擊歸因于與 Cl0p 勒索軟件家族和 FIN11（一個出于經濟動機的 APT 組織）有聯系的威脅行為者。
  本次事故，也促使Accellion對于FTA的維護規劃做出重大決定──他們決定提前于2021年4月30日終止FTA的產品生命周期（EOL），并敦促所有FTA用戶盡快改用Kiteworks Content Firewall。在聲明中，多次提及FTA是超過20年的老牌產品，且產品生命周期將至，并建議用戶要轉移到現行的Kiteworks Content Firewall。
“Accellion 攻擊是 2021 年初的重大事件，因為它展示了勒索軟件供應鏈攻擊的危險性。”
 “Cl0p 勒索軟件團伙能夠利用 Accellion 的文件傳輸設備 [FTP] 軟件中的零日漏洞同時針對大量公司，這大大減少了實現初始訪問所需的工作和精力。”

8. 宏碁遭勒索軟件攻擊
  3月。當總部位于臺灣的跨國電腦制造商宏碁遭到贖金攻擊，攻擊者REvil組織公布了入侵宏碁系統的截圖，并索要5,000萬美元，是當時為止已知的最大的網絡犯罪贖金。
  據報導，網絡罪犯利用了Microsoft Exchange攻擊造成的漏洞。
  宏碁對龐大的勒索金額感到非常震驚，不過并沒有付款。因此，REvil 便在暗網上公布了竊取而來的資料，包含宏碁財務的表格、銀行結余、銀行通訊文檔等機密材料。

9. 戴爾 BIOS 升級軟件出現漏洞：可遠程執行代碼，影響上億臺電腦
  5月，安全研究機構 Eclypsium 近日發現，戴爾的遠程 BIOS 升級軟件出現了一個嚴重漏洞，會導致攻擊者劫持 BIOS 下載請求，并使用經過修改的文件進行攻擊。這會使得黑客可以控制系統的啟動過程，破壞操作系統。
  驅動漏洞存在于名為DBUtil 的檔案中，被統稱為 CVE-2021-21551。其中 4 個漏洞可被用于提高權限，剩下的 1 個則存在被用于 DoS 攻擊的風險。
  收到 Sentinel 的報告后，戴爾已經通過補丁更新的方式將漏洞補上。根據他們的估計，自 2009 年后大約有380個型號的產品均受到了影響，如果不修復的話可能就有數億臺電腦設備都會繼續暴露在風險之下。

10. LinkedIn數據泄露，又見數據泄露
在 4 月份的一次數據抓取事件中，5 億 LinkedIn 會員受到影響后，該事件在 6 月份再次發生。一個自稱為“GOD User TomLiner.”的黑客在RaidForums 上發布了一條包含 7 億條 LinkedIn 待售記錄的帖子。該廣告包含 100 萬條記錄樣本作為“證據”。Privacy Sharks 檢查了免費樣本，發現記錄包括全名、性別、電子郵件地址、電話號碼和行業信息。目前尚不清楚數據的來源是什么。據 LinkedIn 稱，沒有發生任何網絡泄露事件。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明