12月23日,darkreading网站刊登了一篇文章,盘点了2021 年最具影响力的 7 起网络安全事件(作者贾扬维扬),现摘译如下,以供读者参考。
从今年的漏洞和攻击中可以学到很多。
图片来源于darkreading
12 月 10 日公开的 Log4j 漏洞迅速成为 2021 年最重要的安全威胁之一。但是,到目前为止,这并不是安全团队全年必须努力解决的唯一问题。与每年一样,2021 年也发生了影响许多组织的其他大数据泄露和安全事件。
根据身份盗窃资源中心(ITRC) 的数据,截至 9 月 30 日,公开报告了 1,291 起违规事件。这一数字已经比 2020 年全年披露的 1,108 起违规事件高出 17%。如果这种趋势继续下去,2021 年可能会打破 2017 年报告的 1,529 起违规记录。但违规并不是唯一的问题。Redscan对美国国家通用漏洞数据库 (NVD) 的一项新分析显示,今年迄今披露的漏洞数量(18,439 个)比以往任何一年都多。Redscan 发现,其中十分之九可以被黑客攻击或技术技能有限的攻击者利用。
对于每天保护组织免受威胁的安全团队来说,这些统计数据不太可能出人意料。即便如此,这些数据还是反映了组织在 2021 年面临的挑战——毫无疑问,明年也将继续面临。
以下列出了 2021 年最具影响力的七起网络安全事件。
- 震惊业界的Log4j漏洞
图片来源于darkreading
近来,Log4j 日志记录框架中的一个严重的远程代码执行漏洞震撼了整个行业,就像其他漏洞一样。这种担忧源于这样一个事实,即该工具在企业、运营技术 (OT)、软件即服务 (SaaS) 和云服务提供商 (CSP) 环境中普遍使用,而且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、PC 和任何其他设备的方法,包括存在日志工具的关键 OT 和工业控制系统 (ICS) 环境中的设备。
该漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通过多种方式利用。Apache 基金会最初发布了该工具的新版本 (Apache Log4j 2.15.0) 来解决该问题,但此后不久就不得不发布另一个更新,因为第一个更新没有完全防止拒绝服务 (DoS) 攻击和数据盗窃。
截至12月17日,没有公开报告的与该漏洞相关的重大数据泄露。然而,安全专家毫不怀疑攻击者会利用该漏洞,并在可预见的未来继续这么做,因为组织很难找到易受攻击工具的每一个实例并防范该漏洞。
许多安全供应商报告了针对各种 IT 和 OT 系统的广泛扫描活动,包括服务器、虚拟机、移动设备、人机界面 (HMI) 系统和 SCADA 设备。许多扫描活动都涉及尝试投放硬币挖掘工具、远程访问特洛伊木马、勒索软件和 Web shell。其中包括已知的出于经济动机的威胁组织。
二、科洛尼尔管道公司攻击将勒索软件提升为国家安全问题
图片来源于darkreading
5 月份对美国管道运营商科洛尼尔管道公司(Colonial Pipeline) 的勒索软件攻击,在新闻中占据主导地位,与其说是公司遭到破坏的方式,不如说是它对相对广泛的美国人口产生的广泛影响。
由后来被确认为总部位于俄罗斯的 DarkSide 的组织发起的这次袭击导致科洛尼尔关闭了其 5,500 英里管道的整个长度,这是其历史上的第一次。此举中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的暂时天然气短缺。违规行为的影响将勒索软件提升为国家安全级别的担忧,并引发了白宫的反应。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。
DarkSide 使用被盗的旧 VPN 凭据获得了对 Colonial Pipeline 网络的访问权限。SANS 研究所新兴安全趋势主管约翰·佩斯卡托 (John Pescatore) 说,攻击方法本身并不是特别值得注意,但破坏本身“是可见的、有意义的,而且许多政府职位的人都能感受到,”他说。
无法为车辆加油的个人影响引起了政府官员和选民的注意。
佩斯卡托说,虽然高度关注可能不会转化为快速进展,但它已经触发了一个明确的前进运动,以提高安全性。
三、Kaseya事件(再次)将注意力集中在供应链风险上
图片来源于darkreading
IT 管理软件供应商 Kaseya 7 月初发生的安全事件,再次凸显了组织面临来自软件供应商和 IT 供应链中其他供应商的日益严重的威胁。
该事件后来归因于 REvil/Sodinokibi 勒索软件组织的一个附属机构,其中涉及威胁行为者利用 Kaseya 的虚拟系统管理员 (VSA) 技术中的一组三个漏洞,许多托管服务提供商 (MSP) 使用这些漏洞来管理其客户的网络。攻击者利用这些漏洞利用 Kaseya VSA 在属于 MSP 下游客户的数千个系统上分发勒索软件。
Huntress Labs 对违规行为进行的一项调查显示,攻击者在最初的利用活动之后不到两个小时就在属于多个 MSP 的众多公司的系统上安装了勒索软件。
该事件促使美国网络安全和基础设施安全局 (CISA) 发出多个威胁警报,并为 MSP 及其客户提供指导。
Kaseya 攻击凸显了威胁行为者对一次性破坏/妥协多次目标的兴趣日益浓厚,例如软件供应商和服务提供商。虽然此类攻击已持续多年,但 太阳风(SolarWinds)事件 和 Kaseya事件凸显了威胁日益严重。
Vectra AI 的首席技术官奥立佛( Oliver Tavakoli )表示:“Kaseya 攻击将 MSP 的攻击从民族国家领域转移到了为牟利而运作的犯罪团伙。” “虽然这不是典型的供应链攻击——因为它利用了已部署的 Kaseya VSA 服务器的漏洞——但 MSP 向其客户分发软件的 Kaseya 机制是攻击的广泛范围和速度的关键。”
四、Exchange Server (ProxyLogon) 攻击引发修补狂潮
图片来源于darkreading
3 月初,当微软针对其 Exchange Server 技术中的四个漏洞(统称为 ProxyLogon)发布紧急修复程序时,此举引发了一场前所未有的修补狂潮。
一些安全供应商的后续调查表明,几个威胁组织在补丁发布之前就已经瞄准了这些漏洞,并且在微软披露漏洞后,许多其他组织也加入了这一行动。攻击数量如此之多,以至于 F-Secure 曾将全球易受攻击的 Exchange Server描述为“被黑客入侵的速度比我们想象的要快”。
当链接在一起时,ProxyLogon 缺陷为威胁行为者提供了一种未经身份验证的远程访问 Exchange 服务器的方法。
“它本质上是一个电子版本,从公司的主要入口门上移除所有访问控制、警卫和锁,这样任何人都可以走进去,”F-Secure 当时指出。
与许多其他供应商一样,安全供应商建议公司简单地假设他们已被破坏并做出相应的响应。在漏洞披露后不到三周,微软报告称,全球约 92% 的 Exchange 服务 IP 已被修补或缓解。但是,对攻击者在修补之前安装在 Exchange Server 上的 Web shell 的担忧挥之不去,促使美国司法部采取前所未有的措施,命令 FBI主动从后门的 Exchange Server 中删除 Web shell。
SANS 的潘斯卡特(Pescatore) 说,Exchange Server 的缺陷在很多方面都是坏消息。与 Exchange Online 相比,Microsoft 在针对本地安装进行修复方面的速度相对较慢,从而加剧了该问题。“与开发适用于不同的本地环境的修复程序相比,SaaS 提供商能够更快地屏蔽其服务中的代码弱点,是有原因的,”潘斯卡特指出。但他补充说,如果他们继续销售内部部署软件,他们就必须花钱拥有足够的资源来快速修复软件,尤其是在Exchange Server等关键任务技术方面。
五、PrintNightmare 强调了 Windows Print Spooler 技术的持续风险
图片来源于darkreading
很少有漏洞比 PrintNightmare ( CVE-2021-34527 )突出了 Microsoft 的 Windows Print Spooler 技术给企业带来的持续风险。该漏洞于7月披露,与 Spooler 服务中用于安装打印机驱动程序系统的特定功能有关。该问题影响了所有 Windows 版本,并为经过身份验证的攻击者提供了一种在存在漏洞的任何系统上远程执行恶意代码的方法。这包括关键的 Active Directory 管理系统和核心域控制器。Microsoft 警告对该漏洞的利用,导致环境的机密性、完整性和可用性丢失。
Microsoft 对 PrintNightmare 的披露促使 CISA、CERT 协调中心 (CC) 和其他机构发出紧急建议,敦促组织迅速禁用关键系统上的 Print Spooler 服务。最初的警报提到了微软在 6 月份针对 Print Spooler 中几乎相同的漏洞发布的补丁,称该补丁对 PrintNightmare 无效。微软后来澄清说,虽然 PrintNightmare 与 6 月份的缺陷相似,但它是唯一的缺陷,需要单独的补丁。
PrintNightmare 是组织今年必须修补的几个缺陷中最严重的一个,这些缺陷是微软长期存在缺陷的 Print Spooler 技术。
“PrintNightmare 变得很重要,因为该漏洞存在于几乎每个 Windows 系统上都安装的‘Print Spoole’服务中,”Coalfire 技术和企业副总裁安德鲁(Andrew Barratt) 说。他还补充说,这意味着攻击者有一个巨大的攻击面作为目标。“禁用这些服务并不总是可行的,因为需要它来促进打印”。
六、Accellion入侵是一次破坏/多次破坏攻击趋势的一个例子
图片来源于darkreading
美国、加拿大、新加坡、荷兰和其他国家/地区的多个组织在 2 月份遭遇了严重的数据泄露,因为他们使用的来自 Accellion 的文件传输服务存在漏洞。零售巨头克罗格是最大的受害者之一,其药房和诊所服务的员工和数百万客户的数据被暴露。其他著名的受害者包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。
Accellion将这个问题描述为与其近乎过时的文件传输设备技术中的零日漏洞有关,当时许多组织正在使用该技术在其组织内部和外部传输大型文件。安全供应商 Mandiant 表示,其调查显示,攻击者使用了 Accellion 技术中多达四个零日漏洞作为攻击链的一部分。安全供应商后来将这次攻击归因于与 Cl0p 勒索软件家族和 FIN11(一个出于经济动机的 APT 组织)有联系的威胁行为者。
Digital Shadows 的网络威胁情报分析师伊凡(Ivan Righi) 表示:“Accellion 攻击是 2021 年初的重大事件,因为它展示了勒索软件供应链攻击的危险性。” “Cl0p 勒索软件团伙能够利用 Accellion 的文件传输设备 [FTP] 软件中的零日漏洞同时针对大量公司,这大大减少了实现初始访问所需的工作和精力。”
七、佛罗里达水务公司黑客事件提醒人们,关键基础设施容易受到网络攻击
图片来源于darkreading
今年2月,一名攻击者闯入佛罗里达州奥尔兹马尔市一家水处理厂的系统,试图改变一种名为碱液的化学物质的含量,这种化学物质用于控制水的酸度。当入侵者试图将碱液水平提高111倍时被发现;在造成任何损坏之前,更改很快就被逆转了。
随后对该事件的分析显示,入侵者获得了对属于水处理设施操作员的系统的访问权限,可能使用被盗的 TeamViewer 凭据远程登录该系统。此次入侵使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗,特别是因为它表明入侵饮用水处理设施的监控和数据采集 (SCADA) 系统是多么的简单。
该事件促使 CISA警告关键基础设施运营商在环境中使用桌面共享软件和过时或接近报废的软件(如 Windows 7)的危险。CISA 表示,其建议是基于其观察——以及其他机构,如 FBI——对网络犯罪分子通过此类技术瞄准关键基础设施资产的观察。
“佛罗里达水务公司事件意义重大,因为它敲响了警钟,提醒人们公用事业很容易受到损害,以及为减轻大多数网络危害而采取的安全控制措施,”BreakQuest首席技术官杰克·威廉姆斯(Jake Williams)说。
(来源:darkreading。本文参考内容均来源于网络,仅供读者了解和掌握相关情况参考,不用于任何商业用途。侵删)