12月23日,darkreading網站刊登了一篇文章,盤點了2021 年最具影響力的 7 起網絡安全事件(作者賈揚維揚),現摘譯如下,以供讀者參考。
從今年的漏洞和攻擊中可以學到很多。
圖片來源于darkreading
12 月 10 日公開的 Log4j 漏洞迅速成爲 2021 年最重要的安全威脅之一。但是,到目前爲止,這並不是安全團隊全年必須努力解決的唯一問題。與每年一樣,2021 年也發生了影響許多組織的其他大數據泄露和安全事件。
根據身份盜竊資源中心(ITRC) 的數據,截至 9 月 30 日,公開報告了 1,291 起違規事件。這一數字已經比 2020 年全年披露的 1,108 起違規事件高出 17%。如果這種趨勢繼續下去,2021 年可能會打破 2017 年報告的 1,529 起違規記錄。但違規並不是唯一的問題。Redscan對美國國家通用漏洞數據庫 (NVD) 的一項新分析顯示,今年迄今披露的漏洞數量(18,439 個)比以往任何一年都多。Redscan 發現,其中十分之九可以被黑客攻擊或技術技能有限的攻擊者利用。
對于每天保護組織免受威脅的安全團隊來說,這些統計數據不太可能出人意料。即便如此,這些數據還是反映了組織在 2021 年面臨的挑戰——毫無疑問,明年也將繼續面臨。
以下列出了 2021 年最具影響力的七起網絡安全事件。
- 震驚業界的Log4j漏洞
圖片來源于darkreading
近來,Log4j 日志記錄框架中的一個嚴重的遠程代碼執行漏洞震撼了整個行業,就像其他漏洞一樣。這種擔憂源于這樣一個事實,即該工具在企業、運營技術 (OT)、軟件即服務 (SaaS) 和雲服務提供商 (CSP) 環境中普遍使用,而且相對容易利用。該漏洞爲攻擊者提供了一種遠程控制服務器、PC 和任何其他設備的方法,包括存在日志工具的關鍵 OT 和工業控制系統 (ICS) 環境中的設備。
該漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通過多種方式利用。Apache 基金會最初發布了該工具的新版本 (Apache Log4j 2.15.0) 來解決該問題,但此後不久就不得不發布另一個更新,因爲第一個更新沒有完全防止拒絕服務 (DoS) 攻擊和數據盜竊。
截至12月17日,沒有公開報告的與該漏洞相關的重大數據泄露。然而,安全專家毫不懷疑攻擊者會利用該漏洞,並在可預見的未來繼續這麽做,因爲組織很難找到易受攻擊工具的每一個實例並防範該漏洞。
許多安全供應商報告了針對各種 IT 和 OT 系統的廣泛掃描活動,包括服務器、虛擬機、移動設備、人機界面 (HMI) 系統和 SCADA 設備。許多掃描活動都涉及嘗試投放硬幣挖掘工具、遠程訪問特洛伊木馬、勒索軟件和 Web shell。其中包括已知的出于經濟動機的威脅組織。
二、科洛尼爾管道公司攻擊將勒索軟件提升爲國家安全問題
圖片來源于darkreading
5 月份對美國管道運營商科洛尼爾管道公司(Colonial Pipeline) 的勒索軟件攻擊,在新聞中占據主導地位,與其說是公司遭到破壞的方式,不如說是它對相對廣泛的美國人口産生的廣泛影響。
由後來被確認爲總部位于俄羅斯的 DarkSide 的組織發起的這次襲擊導致科洛尼爾關閉了其 5,500 英裏管道的整個長度,這是其曆史上的第一次。此舉中斷了數百萬加侖燃料的運輸,並引發了美國東海岸大部分地區的暫時天然氣短缺。違規行爲的影響將勒索軟件提升爲國家安全級別的擔憂,並引發了白宮的反應。事件發生幾天後,拜登總統發布了一項行政命令,要求聯邦機構實施新的控制措施以加強網絡安全。
DarkSide 使用被盜的舊 VPN 憑據獲得了對 Colonial Pipeline 網絡的訪問權限。SANS 研究所新興安全趨勢主管約翰·佩斯卡托 (John Pescatore) 說,攻擊方法本身並不是特別值得注意,但破壞本身“是可見的、有意義的,而且許多政府職位的人都能感受到,”他說。
無法爲車輛加油的個人影響引起了政府官員和選民的注意。
佩斯卡托說,雖然高度關注可能不會轉化爲快速進展,但它已經觸發了一個明確的前進運動,以提高安全性。
三、Kaseya事件(再次)將注意力集中在供應鏈風險上
圖片來源于darkreading
IT 管理軟件供應商 Kaseya 7 月初發生的安全事件,再次凸顯了組織面臨來自軟件供應商和 IT 供應鏈中其他供應商的日益嚴重的威脅。
該事件後來歸因于 REvil/Sodinokibi 勒索軟件組織的一個附屬機構,其中涉及威脅行爲者利用 Kaseya 的虛擬系統管理員 (VSA) 技術中的一組三個漏洞,許多托管服務提供商 (MSP) 使用這些漏洞來管理其客戶的網絡。攻擊者利用這些漏洞利用 Kaseya VSA 在屬于 MSP 下遊客戶的數千個系統上分發勒索軟件。
Huntress Labs 對違規行爲進行的一項調查顯示,攻擊者在最初的利用活動之後不到兩個小時就在屬于多個 MSP 的衆多公司的系統上安裝了勒索軟件。
該事件促使美國網絡安全和基礎設施安全局 (CISA) 發出多個威脅警報,並爲 MSP 及其客戶提供指導。
Kaseya 攻擊凸顯了威脅行爲者對一次性破壞/妥協多次目標的興趣日益濃厚,例如軟件供應商和服務提供商。雖然此類攻擊已持續多年,但 太陽風(SolarWinds)事件 和 Kaseya事件凸顯了威脅日益嚴重。
Vectra AI 的首席技術官奧立佛( Oliver Tavakoli )表示:“Kaseya 攻擊將 MSP 的攻擊從民族國家領域轉移到了爲牟利而運作的犯罪團夥。” “雖然這不是典型的供應鏈攻擊——因爲它利用了已部署的 Kaseya VSA 服務器的漏洞——但 MSP 向其客戶分發軟件的 Kaseya 機制是攻擊的廣泛範圍和速度的關鍵。”
四、Exchange Server (ProxyLogon) 攻擊引發修補狂潮
圖片來源于darkreading
3 月初,當微軟針對其 Exchange Server 技術中的四個漏洞(統稱爲 ProxyLogon)發布緊急修複程序時,此舉引發了一場前所未有的修補狂潮。
一些安全供應商的後續調查表明,幾個威脅組織在補丁發布之前就已經瞄准了這些漏洞,並且在微軟披露漏洞後,許多其他組織也加入了這一行動。攻擊數量如此之多,以至于 F-Secure 曾將全球易受攻擊的 Exchange Server描述爲“被黑客入侵的速度比我們想象的要快”。
當鏈接在一起時,ProxyLogon 缺陷爲威脅行爲者提供了一種未經身份驗證的遠程訪問 Exchange 服務器的方法。
“它本質上是一個電子版本,從公司的主要入口門上移除所有訪問控制、警衛和鎖,這樣任何人都可以走進去,”F-Secure 當時指出。
與許多其他供應商一樣,安全供應商建議公司簡單地假設他們已被破壞並做出相應的響應。在漏洞披露後不到三周,微軟報告稱,全球約 92% 的 Exchange 服務 IP 已被修補或緩解。但是,對攻擊者在修補之前安裝在 Exchange Server 上的 Web shell 的擔憂揮之不去,促使美國司法部采取前所未有的措施,命令 FBI主動從後門的 Exchange Server 中刪除 Web shell。
SANS 的潘斯卡特(Pescatore) 說,Exchange Server 的缺陷在很多方面都是壞消息。與 Exchange Online 相比,Microsoft 在針對本地安裝進行修複方面的速度相對較慢,從而加劇了該問題。“與開發適用于不同的本地環境的修複程序相比,SaaS 提供商能夠更快地屏蔽其服務中的代碼弱點,是有原因的,”潘斯卡特指出。但他補充說,如果他們繼續銷售內部部署軟件,他們就必須花錢擁有足夠的資源來快速修複軟件,尤其是在Exchange Server等關鍵任務技術方面。
五、PrintNightmare 強調了 Windows Print Spooler 技術的持續風險
圖片來源于darkreading
很少有漏洞比 PrintNightmare ( CVE-2021-34527 )突出了 Microsoft 的 Windows Print Spooler 技術給企業帶來的持續風險。該漏洞于7月披露,與 Spooler 服務中用于安裝打印機驅動程序系統的特定功能有關。該問題影響了所有 Windows 版本,並爲經過身份驗證的攻擊者提供了一種在存在漏洞的任何系統上遠程執行惡意代碼的方法。這包括關鍵的 Active Directory 管理系統和核心域控制器。Microsoft 警告對該漏洞的利用,導致環境的機密性、完整性和可用性丟失。
Microsoft 對 PrintNightmare 的披露促使 CISA、CERT 協調中心 (CC) 和其他機構發出緊急建議,敦促組織迅速禁用關鍵系統上的 Print Spooler 服務。最初的警報提到了微軟在 6 月份針對 Print Spooler 中幾乎相同的漏洞發布的補丁,稱該補丁對 PrintNightmare 無效。微軟後來澄清說,雖然 PrintNightmare 與 6 月份的缺陷相似,但它是唯一的缺陷,需要單獨的補丁。
PrintNightmare 是組織今年必須修補的幾個缺陷中最嚴重的一個,這些缺陷是微軟長期存在缺陷的 Print Spooler 技術。
“PrintNightmare 變得很重要,因爲該漏洞存在于幾乎每個 Windows 系統上都安裝的‘Print Spoole’服務中,”Coalfire 技術和企業副總裁安德魯(Andrew Barratt) 說。他還補充說,這意味著攻擊者有一個巨大的攻擊面作爲目標。“禁用這些服務並不總是可行的,因爲需要它來促進打印”。
六、Accellion入侵是一次破壞/多次破壞攻擊趨勢的一個例子
圖片來源于darkreading
美國、加拿大、新加坡、荷蘭和其他國家/地區的多個組織在 2 月份遭遇了嚴重的數據泄露,因爲他們使用的來自 Accellion 的文件傳輸服務存在漏洞。零售巨頭克羅格是最大的受害者之一,其藥房和診所服務的員工和數百萬客戶的數據被暴露。其他著名的受害者包括衆達律師事務所、新加坡電信、華盛頓州和新西蘭儲備銀行。
Accellion將這個問題描述爲與其近乎過時的文件傳輸設備技術中的零日漏洞有關,當時許多組織正在使用該技術在其組織內部和外部傳輸大型文件。安全供應商 Mandiant 表示,其調查顯示,攻擊者使用了 Accellion 技術中多達四個零日漏洞作爲攻擊鏈的一部分。安全供應商後來將這次攻擊歸因于與 Cl0p 勒索軟件家族和 FIN11(一個出于經濟動機的 APT 組織)有聯系的威脅行爲者。
Digital Shadows 的網絡威脅情報分析師伊凡(Ivan Righi) 表示:“Accellion 攻擊是 2021 年初的重大事件,因爲它展示了勒索軟件供應鏈攻擊的危險性。” “Cl0p 勒索軟件團夥能夠利用 Accellion 的文件傳輸設備 [FTP] 軟件中的零日漏洞同時針對大量公司,這大大減少了實現初始訪問所需的工作和精力。”
七、佛羅裏達水務公司黑客事件提醒人們,關鍵基礎設施容易受到網絡攻擊
圖片來源于darkreading
今年2月,一名攻擊者闖入佛羅裏達州奧爾茲馬爾市一家水處理廠的系統,試圖改變一種名爲堿液的化學物質的含量,這種化學物質用于控制水的酸度。當入侵者試圖將堿液水平提高111倍時被發現;在造成任何損壞之前,更改很快就被逆轉了。
隨後對該事件的分析顯示,入侵者獲得了對屬于水處理設施操作員的系統的訪問權限,可能使用被盜的 TeamViewer 憑據遠程登錄該系統。此次入侵使美國關鍵基礎設施在網絡攻擊面前的持續脆弱性暴露無遺,特別是因爲它表明入侵飲用水處理設施的監控和數據采集 (SCADA) 系統是多麽的簡單。
該事件促使 CISA警告關鍵基礎設施運營商在環境中使用桌面共享軟件和過時或接近報廢的軟件(如 Windows 7)的危險。CISA 表示,其建議是基于其觀察——以及其他機構,如 FBI——對網絡犯罪分子通過此類技術瞄准關鍵基礎設施資産的觀察。
“佛羅裏達水務公司事件意義重大,因爲它敲響了警鍾,提醒人們公用事業很容易受到損害,以及爲減輕大多數網絡危害而采取的安全控制措施,”BreakQuest首席技術官傑克·威廉姆斯(Jake Williams)說。
(來源:darkreading。本文參考內容均來源于網絡,僅供讀者了解和掌握相關情況參考,不用于任何商業用途。侵刪)