12月10日公开的Log4j漏洞迅速成为2021年最重要的安全威胁之一。但是,到目前为止,这并不是安全团队全年必须努力解决的唯一问题。与每年一样,2021年也发生了影响许多组织的其他大数据泄露和安全事件。
根据身份盗窃资源中心(ITRC)的数据,截至9月30日,其公开报告了 1,291起违规事件。这一数字已经比2020年全年披露的1,108起违规事件高出17%。如果这种趋势继续下去,2021年可能会打破2017年报告的 1,529起违规记录。但违规并不是唯一的问题。Redscan对美国国家通用漏洞数据库(NVD) 的一项新分析显示,今年迄今披露的漏洞数量(18,439个)比以往任何一年都多。Redscan发现,其中十分之九可以被黑客或技术能力有限的攻击者利用。
对于每天保护组织免受威胁的安全团队来说,这些统计数据不太出人意料。但即便如此,这些数据还是反映了组织在2021年面临的挑战——毫无疑问,明年也将继续面临。
以下列出了2021年最具影响力的七起网络安全事件。
震惊业界的Log4j漏洞
近来,Log4j日志记录框架中的一个严重的远程代码执行漏洞震撼了整个行业。这种担忧源于这样一个事实,即该工具在企业、运营技术 (OT)、软件即服务 (SaaS) 和云服务提供商 (CSP) 环境中普遍使用,而且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、PC和任何其他设备的方法,包括存在日志工具的关键OT和工业控制系统 (ICS) 环境中的设备。
该漏洞(CVE-2021-44228) 存在于Log4j 2.0-beta9到Log4j 2.14.1版本中,可以通过多种方式利用。Apache基金会最初发布了该工具的新版本 (Apache Log4j 2.15.0) 来解决该问题,但此后不得不发布另一个更新,因为第一个更新没有完全防止拒绝服务 (DoS) 攻击和数据盗窃。
截至12月17日,没有公开报告的与该漏洞相关的重大数据泄露。然而,安全专家毫不怀疑攻击者会利用该漏洞,因为组织很难找到易受攻击工具的每一个实例并防范该漏洞。
许多安全供应商报告了针对各种IT和OT系统的广泛扫描活动,包括服务器、虚拟机、移动设备、人机界面 (HMI) 系统和SCADA设备。许多扫描活动都涉及尝试投币挖掘工具、远程访问特洛伊木马、勒索软件和 Web shell;其中包括已知的出于经济动机的威胁组织。
科洛尼尔管道公司遇袭将勒索软件提升为国家安全问题
5月份,对美国管道运营商科洛尼尔管道公司(Colonial Pipeline) 的勒索软件攻击,在新闻中占据了头条;因为它对美国民众产生了广泛的影响。
由后来被确认为总部位于俄罗斯、名为DarkSide(黑暗面)的组织发起的这次袭击,导致科洛尼尔公司关闭了其5,500英里的管道,这是其历史上的第一次。此举中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的暂时天然气短缺。这次事件的影响将勒索软件提升为国家安全级别的问题,并引发了白宫的反应。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。
DarkSide使用被盗的旧虚拟专用网凭据获得了对科洛尼尔管道公司网络的访问权限。SANS研究所新兴安全趋势主管约翰·佩斯卡托 (John Pescatore) 说,攻击方法本身并不是特别值得注意,但破坏本身“是可见的、有意义的,而且许多政府官员都能亲身感受到。”他说。
Kaseya事件使人们(再次)将注意力集中在供应链风险上
IT管理软件供应商Kaseya 7 月初发生的安全事件,再次凸显了组织面临来自软件供应商和IT供应链中其他供应商的日益严重的威胁。
该事件后来归因于REvil/Sodinokibi 勒索软件组织的一个附属机构,其中涉及威胁行为者利用Kaseya的虚拟系统管理员 (VSA) 技术中的三个漏洞,而许多托管服务提供商 (MSP) 使用该技术来管理其客户的网络。攻击者利用这些漏洞,使用Kaseya VSA在属于MSP下游客户的数千个系统上分发勒索软件。
Huntress Labs的一项调查显示,攻击者在最初的利用活动之后不到两个小时,就在属于多个MSP的众多公司的系统上安装了勒索软件。
该事件促使美国网络安全和基础设施安全局 (CISA) 发出多个威胁警报,并为MSP及其客户提供指导。
Kaseya攻击凸显了威胁行为者对一次性破坏/危及许多目标(如软件供应商和服务提供商)的兴趣日益增长。虽然此类攻击已持续多年,但 太阳风(SolarWinds)事件和Kaseya事件,凸显了威胁日益严重。
Vectra AI首席技术官奥立佛(Oliver Tavakoli)表示:“Kaseya 攻击虽然不是典型的供应链攻击——因为它利用了已部署的Kaseya VSA 服务器的漏洞——但MSP向其客户分发软件的Kaseya机制是攻击的大范围和快速的关键。”
Exchange Server (ProxyLogon) 攻击引发修补狂潮
3月初,当微软针对其Exchange Server技术中的四个漏洞(统称为 ProxyLogon)发布紧急修复程序时,引发了一场前所未有的修补狂潮。
一些安全供应商的后续调查表明,几个威胁组织在补丁发布之前就已经瞄准了这些漏洞,并且在微软披露漏洞后,许多其他组织也加入了这一行动。攻击数量如此之多,以至于F-Secure曾将全球易受攻击的 Exchange Server描述为“被黑客入侵的速度比我们想象的要快”。
当链接在一起时,ProxyLogon缺陷为威胁行为者提供了一种未经身份验证的远程访问Exchange服务器的方法。
“它本质上是一个电子版本,从公司的主要入口上移除所有门禁、警卫和锁,这样任何人都可以走进去,”F-Secure 当时指出。
在漏洞披露后不到三周,微软报告称,全球约92%的Exchange服务IP已被修补或缓解。但是,对攻击者在修补之前安装在Exchange Server上的 Web shell的担忧挥之不去,促使美国司法部采取前所未有的措施,命令FBI主动从后门Exchange Server中删除 Web shell。
SANS的佩斯卡托(Pescatore)说,Exchange Server的缺陷在很多方面都是坏消息。与Exchange Online相比,微软在针对本地安装进行修复方面的速度相对较慢,这使得问题更加严重。“与开发适用于不同的本地环境的修复程序相比,SaaS提供商能够更快地屏蔽其服务中的代码弱点,是有原因的,”佩斯卡托指出。
PrintNightmare 强调了 Windows Print Spooler技术的持续风险
很少有漏洞能比PrintNightmare(CVE-2021-34527)更突出微软的Windows Print Spooler技术给企业带来的持续风险。该漏洞于7月披露,与Spooler服务中用于安装打印机驱动程序系统的特定功能有关。该问题影响了所有Windows版本,并为经过身份验证的攻击者提供了一种在存在漏洞的任何系统上远程执行恶意代码的方法。这包括关键的Active Directory管理系统和核心域控制器。微软警告称,对该漏洞的利用,会导致环境的机密性、完整性和可用性受到损失。
微软对PrintNightmare的披露促使CISA、CERT协调中心 (CC) 和其他机构发出紧急建议,敦促组织迅速禁用关键系统上的Print Spooler 服务。最初的警报提到了微软在6月份针对Print Spooler中几乎相同的漏洞发布的补丁,称该补丁对PrintNightmare无效。微软后来澄清说,虽然PrintNightmare与6月份的缺陷相似,但它需要单独的补丁。
PrintNightmare是今年微软长期存在缺陷的Print Spooler 技术中、几个必须修补的缺陷中最严重的一个。
“PrintNightmare变得很重要,因为该漏洞存在于几乎每个 Windows系统上都安装的‘Print Spoole’服务中,”Coalfire技术和企业副总裁安德鲁(Andrew Barratt) 说。他还补充说,这意味着攻击者有一个巨大的攻击面作为目标。“禁用这些服务并不总是可行的,因为需要它来促进打印”。
Accellion入侵是一次破坏/多次破坏攻击趋势的一个例子
美国、加拿大、新加坡、荷兰和其他国家/地区的多个组织在2月份遭遇了严重的数据泄露,因为他们使用的来自Accellion的文件传输服务存在漏洞。零售巨头克罗格是最大的受害者之一,其药房和诊所服务的员工和数百万客户的数据被暴露。其他著名的受害者包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。
Accellion将这个问题描述为与其近乎过时的文件传输设备技术中的零日漏洞有关,当时许多组织正在使用该技术在其内部和外部传输大型文件。安全供应商Mandiant表示,其调查显示,攻击者使用了 Accellion 技术中多达四个零日漏洞作为攻击链的一部分。安全供应商后来将这次攻击归因于与 Clop 勒索软件家族和FIN11(一个出于经济动机的APT组织)有联系的威胁行为者。
Digital Shadows的网络威胁情报分析师伊凡(Ivan Righi) 表示:“Accellion攻击是2021年初的重大事件,因为它展示了勒索软件供应链攻击的危险性。” “Clop勒索软件团伙能够利用Accellion的文件传输设备 (FTP) 软件中的零日漏洞一次锁定大量公司,这大大减少了实现初始访问所需的工作和精力。”
佛罗里达水务公司黑客事件提醒人们,关键基础设施容易受到网络攻击
今年2月,一名攻击者闯入佛罗里达州奥兹马市一家水处理厂的系统,试图改变一种名为碱液的化学物质的含量,这种化学物质用于控制水的酸度。当入侵者试图将碱液水平提高111倍时被发现;在造成任何损坏之前,更改很快就被逆转了。
随后对该事件的分析显示,入侵者获得了对属于水处理设施操作员的系统的访问权限,可能使用被盗的TeamViewer凭据远程登录了该系统。此次入侵,使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗,特别是因为它表明入侵饮用水处理设施的监控和数据采集 (SCADA) 系统是多么的简单。
这一事件促使CISA向关键基础设施运营商发出警告,提醒他们注意在环境中使用桌面共享软件和过时或接近报废的软件(如Windows 7)的危险。CISA表示,其建议是基于其观察结果——以及FBI等其他机构的观察结果——网络犯罪分子通过此类技术瞄准关键基础设施资产。
“佛罗里达水务公司事件意义重大,因为它敲响了警钟,提醒人们公用事业很容易受到损害。”BreakQuest首席技术官杰克·威廉姆斯(Jake Williams)说。
暂无评论内容