近日，darkreading網(wǎng)站刊登了一篇文章，盤點了2021年最具影響力的七起網(wǎng)絡(luò)安全事件，現(xiàn)摘譯如下，以供讀者參考。

從今年的漏洞和攻擊中可以學到很多。

(圖片來源于darkreading)

12月10日公開的Log4j漏洞迅速成為2021年最重要的安全威脅之一。但是，到目前為止，這并不是安全團隊全年必須努力解決的唯一問題。與每年一樣，2021年也發(fā)生了影響許多組織的其他大數(shù)據(jù)泄露和安全事件。

根據(jù)身份盜竊資源中心(ITRC)的數(shù)據(jù)，截至9月30日，其公開報告了 1,291起違規(guī)事件。這一數(shù)字已經(jīng)比2020年全年披露的1,108起違規(guī)事件高出17%。如果這種趨勢繼續(xù)下去，2021年可能會打破2017年報告的 1,529起違規(guī)記錄。但違規(guī)并不是唯一的問題。Redscan對美國國家通用漏洞數(shù)據(jù)庫(NVD) 的一項新分析顯示，今年迄今披露的漏洞數(shù)量(18,439個)比以往任何一年都多。Redscan發(fā)現(xiàn)，其中十分之九可以被黑客或技術(shù)能力有限的攻擊者利用。

對于每天保護組織免受威脅的安全團隊來說，這些統(tǒng)計數(shù)據(jù)不太出人意料。但即便如此，這些數(shù)據(jù)還是反映了組織在2021年面臨的挑戰(zhàn)——毫無疑問，明年也將繼續(xù)面臨。

以下列出了2021年最具影響力的七起網(wǎng)絡(luò)安全事件。

震驚業(yè)界的Log4j漏洞

近來，Log4j日志記錄框架中的一個嚴重的遠程代碼執(zhí)行漏洞震撼了整個行業(yè)。這種擔憂源于這樣一個事實，即該工具在企業(yè)、運營技術(shù) (OT)、軟件即服務(wù) (SaaS) 和云服務(wù)提供商 (CSP) 環(huán)境中普遍使用，而且相對容易利用。該漏洞為攻擊者提供了一種遠程控制服務(wù)器、PC和任何其他設(shè)備的方法，包括存在日志工具的關(guān)鍵OT和工業(yè)控制系統(tǒng) (ICS) 環(huán)境中的設(shè)備。

該漏洞(CVE-2021-44228) 存在于Log4j 2.0-beta9到Log4j 2.14.1版本中，可以通過多種方式利用。Apache基金會最初發(fā)布了該工具的新版本 (Apache Log4j 2.15.0) 來解決該問題，但此后不得不發(fā)布另一個更新，因為第一個更新沒有完全防止拒絕服務(wù) (DoS) 攻擊和數(shù)據(jù)盜竊。

截至12月17日，沒有公開報告的與該漏洞相關(guān)的重大數(shù)據(jù)泄露。然而，安全專家毫不懷疑攻擊者會利用該漏洞，因為組織很難找到易受攻擊工具的每一個實例并防范該漏洞。

許多安全供應(yīng)商報告了針對各種IT和OT系統(tǒng)的廣泛掃描活動，包括服務(wù)器、虛擬機、移動設(shè)備、人機界面 (HMI) 系統(tǒng)和SCADA設(shè)備。許多掃描活動都涉及嘗試投幣挖掘工具、遠程訪問特洛伊木馬、勒索軟件和 Web shell;其中包括已知的出于經(jīng)濟動機的威脅組織。

科洛尼爾管道公司遇襲將勒索軟件提升為國家安全問題

5月份，對美國管道運營商科洛尼爾管道公司(Colonial Pipeline) 的勒索軟件攻擊，在新聞中占據(jù)了頭條;因為它對美國民眾產(chǎn)生了廣泛的影響。

由后來被確認為總部位于俄羅斯、名為DarkSide(黑暗面)的組織發(fā)起的這次襲擊，導(dǎo)致科洛尼爾公司關(guān)閉了其5,500英里的管道，這是其歷史上的第一次。此舉中斷了數(shù)百萬加侖燃料的運輸，并引發(fā)了美國東海岸大部分地區(qū)的暫時天然氣短缺。這次事件的影響將勒索軟件提升為國家安全級別的問題，并引發(fā)了白宮的反應(yīng)。事件發(fā)生幾天后，拜登總統(tǒng)發(fā)布了一項行政命令，要求聯(lián)邦機構(gòu)實施新的控制措施以加強網(wǎng)絡(luò)安全。

DarkSide使用被盜的舊虛擬專用網(wǎng)憑據(jù)獲得了對科洛尼爾管道公司網(wǎng)絡(luò)的訪問權(quán)限。SANS研究所新興安全趨勢主管約翰·佩斯卡托 (John Pescatore) 說，攻擊方法本身并不是特別值得注意，但破壞本身“是可見的、有意義的，而且許多政府官員都能親身感受到。”他說。

Kaseya事件使人們(再次)將注意力集中在供應(yīng)鏈風險上

IT管理軟件供應(yīng)商Kaseya 7 月初發(fā)生的安全事件，再次凸顯了組織面臨來自軟件供應(yīng)商和IT供應(yīng)鏈中其他供應(yīng)商的日益嚴重的威脅。

該事件后來歸因于REvil/Sodinokibi 勒索軟件組織的一個附屬機構(gòu)，其中涉及威脅行為者利用Kaseya的虛擬系統(tǒng)管理員 (VSA) 技術(shù)中的三個漏洞，而許多托管服務(wù)提供商 (MSP) 使用該技術(shù)來管理其客戶的網(wǎng)絡(luò)。攻擊者利用這些漏洞，使用Kaseya VSA在屬于MSP下游客戶的數(shù)千個系統(tǒng)上分發(fā)勒索軟件。

Huntress Labs的一項調(diào)查顯示，攻擊者在最初的利用活動之后不到兩個小時，就在屬于多個MSP的眾多公司的系統(tǒng)上安裝了勒索軟件。

該事件促使美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)出多個威脅警報，并為MSP及其客戶提供指導(dǎo)。

Kaseya攻擊凸顯了威脅行為者對一次性破壞/危及許多目標(如軟件供應(yīng)商和服務(wù)提供商)的興趣日益增長。雖然此類攻擊已持續(xù)多年，但 太陽風(SolarWinds)事件和Kaseya事件，凸顯了威脅日益嚴重。

Vectra AI首席技術(shù)官奧立佛(Oliver Tavakoli)表示：“Kaseya 攻擊雖然不是典型的供應(yīng)鏈攻擊——因為它利用了已部署的Kaseya VSA 服務(wù)器的漏洞——但MSP向其客戶分發(fā)軟件的Kaseya機制是攻擊的大范圍和快速的關(guān)鍵。”

Exchange Server (ProxyLogon) 攻擊引發(fā)修補狂潮

3月初，當微軟針對其Exchange Server技術(shù)中的四個漏洞(統(tǒng)稱為 ProxyLogon)發(fā)布緊急修復(fù)程序時，引發(fā)了一場前所未有的修補狂潮。

一些安全供應(yīng)商的后續(xù)調(diào)查表明，幾個威脅組織在補丁發(fā)布之前就已經(jīng)瞄準了這些漏洞，并且在微軟披露漏洞后，許多其他組織也加入了這一行動。攻擊數(shù)量如此之多，以至于F-Secure曾將全球易受攻擊的 Exchange Server描述為“被黑客入侵的速度比我們想象的要快”。

當鏈接在一起時，ProxyLogon缺陷為威脅行為者提供了一種未經(jīng)身份驗證的遠程訪問Exchange服務(wù)器的方法。

“它本質(zhì)上是一個電子版本，從公司的主要入口上移除所有門禁、警衛(wèi)和鎖，這樣任何人都可以走進去，”F-Secure 當時指出。

在漏洞披露后不到三周，微軟報告稱，全球約92%的Exchange服務(wù)IP已被修補或緩解。但是，對攻擊者在修補之前安裝在Exchange Server上的 Web shell的擔憂揮之不去，促使美國司法部采取前所未有的措施，命令FBI主動從后門Exchange Server中刪除 Web shell。

SANS的佩斯卡托(Pescatore)說，Exchange Server的缺陷在很多方面都是壞消息。與Exchange Online相比，微軟在針對本地安裝進行修復(fù)方面的速度相對較慢，這使得問題更加嚴重。“與開發(fā)適用于不同的本地環(huán)境的修復(fù)程序相比，SaaS提供商能夠更快地屏蔽其服務(wù)中的代碼弱點，是有原因的，”佩斯卡托指出。

PrintNightmare 強調(diào)了 Windows Print Spooler技術(shù)的持續(xù)風險

很少有漏洞能比PrintNightmare(CVE-2021-34527)更突出微軟的Windows Print Spooler技術(shù)給企業(yè)帶來的持續(xù)風險。該漏洞于7月披露，與Spooler服務(wù)中用于安裝打印機驅(qū)動程序系統(tǒng)的特定功能有關(guān)。該問題影響了所有Windows版本，并為經(jīng)過身份驗證的攻擊者提供了一種在存在漏洞的任何系統(tǒng)上遠程執(zhí)行惡意代碼的方法。這包括關(guān)鍵的Active Directory管理系統(tǒng)和核心域控制器。微軟警告稱，對該漏洞的利用，會導(dǎo)致環(huán)境的機密性、完整性和可用性受到損失。

微軟對PrintNightmare的披露促使CISA、CERT協(xié)調(diào)中心 (CC) 和其他機構(gòu)發(fā)出緊急建議，敦促組織迅速禁用關(guān)鍵系統(tǒng)上的Print Spooler 服務(wù)。最初的警報提到了微軟在6月份針對Print Spooler中幾乎相同的漏洞發(fā)布的補丁，稱該補丁對PrintNightmare無效。微軟后來澄清說，雖然PrintNightmare與6月份的缺陷相似，但它需要單獨的補丁。

PrintNightmare是今年微軟長期存在缺陷的Print Spooler 技術(shù)中、幾個必須修補的缺陷中最嚴重的一個。

“PrintNightmare變得很重要，因為該漏洞存在于幾乎每個 Windows系統(tǒng)上都安裝的‘Print Spoole’服務(wù)中，”Coalfire技術(shù)和企業(yè)副總裁安德魯(Andrew Barratt) 說。他還補充說，這意味著攻擊者有一個巨大的攻擊面作為目標。“禁用這些服務(wù)并不總是可行的，因為需要它來促進打印”。

Accellion入侵是一次破壞/多次破壞攻擊趨勢的一個例子

美國、加拿大、新加坡、荷蘭和其他國家/地區(qū)的多個組織在2月份遭遇了嚴重的數(shù)據(jù)泄露，因為他們使用的來自Accellion的文件傳輸服務(wù)存在漏洞。零售巨頭克羅格是最大的受害者之一，其藥房和診所服務(wù)的員工和數(shù)百萬客戶的數(shù)據(jù)被暴露。其他著名的受害者包括眾達律師事務(wù)所、新加坡電信、華盛頓州和新西蘭儲備銀行。

Accellion將這個問題描述為與其近乎過時的文件傳輸設(shè)備技術(shù)中的零日漏洞有關(guān)，當時許多組織正在使用該技術(shù)在其內(nèi)部和外部傳輸大型文件。安全供應(yīng)商Mandiant表示，其調(diào)查顯示，攻擊者使用了 Accellion 技術(shù)中多達四個零日漏洞作為攻擊鏈的一部分。安全供應(yīng)商后來將這次攻擊歸因于與 Clop 勒索軟件家族和FIN11(一個出于經(jīng)濟動機的APT組織)有聯(lián)系的威脅行為者。

Digital Shadows的網(wǎng)絡(luò)威脅情報分析師伊凡(Ivan Righi) 表示：“Accellion攻擊是2021年初的重大事件，因為它展示了勒索軟件供應(yīng)鏈攻擊的危險性。” “Clop勒索軟件團伙能夠利用Accellion的文件傳輸設(shè)備 (FTP) 軟件中的零日漏洞一次鎖定大量公司，這大大減少了實現(xiàn)初始訪問所需的工作和精力。”

佛羅里達水務(wù)公司黑客事件提醒人們，關(guān)鍵基礎(chǔ)設(shè)施容易受到網(wǎng)絡(luò)攻擊

今年2月，一名攻擊者闖入佛羅里達州奧茲馬市一家水處理廠的系統(tǒng)，試圖改變一種名為堿液的化學物質(zhì)的含量，這種化學物質(zhì)用于控制水的酸度。當入侵者試圖將堿液水平提高111倍時被發(fā)現(xiàn);在造成任何損壞之前，更改很快就被逆轉(zhuǎn)了。

隨后對該事件的分析顯示，入侵者獲得了對屬于水處理設(shè)施操作員的系統(tǒng)的訪問權(quán)限，可能使用被盜的TeamViewer憑據(jù)遠程登錄了該系統(tǒng)。此次入侵，使美國關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊面前的持續(xù)脆弱性暴露無遺，特別是因為它表明入侵飲用水處理設(shè)施的監(jiān)控和數(shù)據(jù)采集 (SCADA) 系統(tǒng)是多么的簡單。

這一事件促使CISA向關(guān)鍵基礎(chǔ)設(shè)施運營商發(fā)出警告，提醒他們注意在環(huán)境中使用桌面共享軟件和過時或接近報廢的軟件(如Windows 7)的危險。CISA表示，其建議是基于其觀察結(jié)果——以及FBI等其他機構(gòu)的觀察結(jié)果——網(wǎng)絡(luò)犯罪分子通過此類技術(shù)瞄準關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)。

“佛羅里達水務(wù)公司事件意義重大，因為它敲響了警鐘，提醒人們公用事業(yè)很容易受到損害。”BreakQuest首席技術(shù)官杰克·威廉姆斯(Jake Williams)說。

(來源：darkreading。本文參考內(nèi)容均來源于網(wǎng)絡(luò)，僅供讀者了解和掌握相關(guān)情況參考，不用于任何商業(yè)用途。侵刪)