2021年底公开露出的 Log4j 缝隙迅速成为该年影响力最大的安全威胁�。�。。�。�。。�。�。然而�,,�,�,�,�,�,�,这并不是企业安全团队面对的唯一难题�,,�,�,�,�,�,�,据身份偷窃资源中心( ITRC )的数据显示�,,�,�,�,�,�,�,仅 2021 年前三季度公开汇报的数据泄露事务就多达 1,291 起�;�;;�;�;;Redscan 对美国国度通用缝隙数据库( NVD )的一项新调研显示�,,�,�,�,�,�,�, 2021 年披露的缝隙数量( 18,439 个)比以往任何一年都多�。�。。�。�。。�。�。更糟糕的是�,,�,�,�,�,�,�,其中绝大部门都能够被黑客甚至技术能力有限的攻击者利用�。�。。�。�。。�。�。
以下列出了 2021 年最具代表性的 7 起网络安全事务�,,�,�,�,�,�,�,其中蕴含数据泄露、攻击和缝隙等�。�。。�。�。。�。�。
1. 震惊业界的 Log4j 缝隙
2021年12月初�,,�,�,�,�,�,�, Log4j 日志框架中一个严沉的远程代码执行缝隙震惊了整个行业�,,�,�,�,�,�,�,能够说�,,�,�,�,�,�,�,近年来很少有其他缝隙具备如此震慑力�。�。。�。�。。�。�。这种忧郁源于这样一个事实�,,�,�,�,�,�,�,即该工具在企业运营( OT )、软件即服务( SaaS )和云服务提供商( CSP )环境中普遍存在�,,�,�,�,�,�,�,且相对容易利用�。�。。�。�。。�。�。该缝隙为攻击者提供了一种远程节造服务器、 PC 和任何其他设备的步骤�,,�,�,�,�,�,�,蕴含存在日志工具的关键运营( OT)和工业节造系统( ICS )环境中的设备�。�。。�。�。。�。�。
该缝隙( CVE-2021-44228 )存在于从 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中�,,�,�,�,�,�,�,能够通过多种方式利用�。�。。�。�。。�。�。Apache 基金会最初颁布了该工具的新版本( Apache Log4j 2.15.0 )试图解决问题�,,�,�,�,�,�,�,但尔后不久又不得不颁布另一个更新�,,�,�,�,�,�,�,由于第一个更新没能齐全预防回绝服务( DoS )攻击和数据偷窃�。�。。�。�。。�。�。
截至 2021 年 12 月 17 日�,,�,�,�,�,�,�,暂未出现与此缝隙有关的沉大数据泄露事务�。�。。�。�。。�。�。然而�,,�,�,�,�,�,�,安全专家坚信攻击者肯定会利用该缝隙�,,�,�,�,�,�,�,并在可预感的将来持续这样做�,,�,�,�,�,�,�,由于企业很难找到易受攻击系统的每一个事俘并有效防备该缝隙�。�。。�。�。。�。�。很多安全厂商汇报了针对各类 IT 和 OT 系统(蕴含服务器、虚构机、移动设备、人机界面系统和 SCADA 设备等)的宽泛扫描活动�,,�,�,�,�,�,�,其中很多都涉及尝试投币挖掘工具、远程接见木马、勒索软件和 Web shell �;�;;�;�;;涉及的恶意行为者则蕴含已知的出于经济动机的威胁组织�,,�,�,�,�,�,�,以及来自伊朗和土耳其等国度支持的 APT 组织�。�。。�。�。。�。�。
2. Colonial Pipeline 攻击将勒索软件提升至国度安全
2021 年 5 月�,,�,�,�,�,�,�,针对美国管路运营商 Colonial Pipeline 的勒索软件攻击占据了新闻头条�,,�,�,�,�,�,�,此举对美国宽大民多造成了宽泛影响:中断了数百万加仑燃料的运输�,,�,�,�,�,�,�,并引发了美国东海岸大部门地域的短暂性天然气欠缺�。�。。�。�。。�。�。这起事务也成功将勒索软件提升为国度安全级此外问题�,,�,�,�,�,�,�,并引起了白宫的关注�。�。。�。�。。�。�。事务产生几天后�,,�,�,�,�,�,�,拜登总统颁布了一项行政号令�,,�,�,�,�,�,�,要求联国机构执行新的节造措施以加强网络安全�。�。。�。�。。�。�。
据悉�,,�,�,�,�,�,�,这次事务的原因是黑客组织使用了被盗的旧 VPN 痛处获得了对 Colonial Pipeline 网络的接见权限�。�。。�。�。。�。�。这种攻击步骤自身并非出格值妥贴心�,,�,�,�,�,�,�,但粉碎自身却是可见的、有意思的�,,�,�,�,�,�,�,并且很多当局官员都能亲自感触到�。�。。�。�。。�。�。这也促使美国两党和当局提高了使用可沉用密码等问题的门槛�。�。。�。�。。�。�。虽说高度关注可能不会产生立竿见影的进展�,,�,�,�,�,�,�,但它已经推动了国度层面对网络安全的关注�。�。。�。�。。�。�。
3. Kaseya 事务将人们确把稳力集中在供给链风险上
2021 年 7 月初�,,�,�,�,�,�,�, IT 治理软件供给商 Kaseya 产生的安全事务�,,�,�,�,�,�,�,再次凸显了企业面对来自 IT 供给链中供给商的威胁正日益加剧�。�。。�。�。。�。�。
该事务后来归因于 REvil/Sodinokibi 勒索软件组织的一个从属机构�,,�,�,�,�,�,�,其中涉及威胁行为者利用 Kaseya 虚构系统治理员( VSA )技术中的三个缝隙�,,�,�,�,�,�,�,而很多托管服务提供商( MSP )使用该技术来治理其客户的网络�。�。。�。�。。�。�。攻击者利用这些缝隙�,,�,�,�,�,�,�,使用 Kaseya VSA 在属于 MSP 下游客户的数千个系统上分发勒索软件�。�。。�。�。。�。�。
Kaseya 攻击凸显了威胁行为者对一次性粉碎多个指标(如软件供给商和服务提供商)的兴致日益浓密�。�。。�。�。。�。�。固然这不是典型的供给链攻击——由于它利用了已部署的 Kaseya VSA 服务器缝隙�,,�,�,�,�,�,�,但 MSP 向其客户分发软件的 Kaseya 机造是扩大攻击领域和速度的关键�。�。。�。�。。�。�。该事务促使美国网络安全和基础设施安全局( CISA )发出多个威胁警报�,,�,�,�,�,�,�,并为 MSP 及其客户提供领导�。�。。�。�。。�。�。
4. Exchange Server 攻击引发建补怒潮
2021年3月初�,,�,�,�,�,�,�,当微软针对其 Exchange Server 技术中的四个缝隙(统称为“ ProxyLogon ”)颁布垂危建复法式时�,,�,�,�,�,�,�,引发了一场前所未有的建补怒潮�。�。。�。�。。�。�。
ProxyLogon 缝隙为威胁行为者提供了一种未经身份验证的远程接见 Exchange 服务器的步骤�。�。。�。�。。�。�。它性质上是一个电子版本�,,�,�,�,�,�,�,从企业的重要入口上移除所有接见节造、警卫和锁�,,�,�,�,�,�,�,这样任何人都能够进入�。�。。�。�。。�。�。一些安全厂商的调查批注�,,�,�,�,�,�,�,几个威胁组织在补丁颁布之前就已经对准了这些缝隙�,,�,�,�,�,�,�,并且在微软披露缝隙后�,,�,�,�,�,�,�,很多其他组织也参与了这一行动�。�。。�。�。。�。�。攻击数量如此之多�,,�,�,�,�,�,�,以至于 F-Secure 称“ Exchange Server 被黑客入侵的速度比我们设想的要快”�。�。。�。�。。�。�。
与很多其他供给商一样�,,�,�,�,�,�,�,微软其时也建议企业如果自己已被粉碎并做出响应�。�。。�。�。。�。�。在缝隙披露后不到三周�,,�,�,�,�,�,�,微软汇报称�,,�,�,�,�,�,�,全球约 92% 的 Exchange 服务 IP 已被建补或缓解�。�。。�。�。。�。�。但是�,,�,�,�,�,�,�,企业对攻击者在建补之前装置在 Exchange Server 上的 Web shell 的忧郁依然挥之不去�,,�,�,�,�,�,�,促使美国司法部采取了前所未有的措施�,,�,�,�,�,�,�,号令 FBI 自动从后门 Exchange Server 中删除 Web shell �。�。。�。�。。�。�。
5. PrintNightmare 强调 Windows Print Spooler 技术的持续风险
很少有缝隙能比 PrintNightmare ( CVE-2021-34527 )更能反映微软的 Windows Print Spooler 技术给企业带来的持续风险�。�。。�。�。。�。�。该缝隙于 2021 年 7 月披露�,,�,�,�,�,�,�,与 Spooler 服务中用于装置打印机驱动法式系统的特定职能有关�。�。。�。�。。�。�。该问题影响了所有 Windows 版本�,,�,�,�,�,�,�,并为经过身份验证的攻击者提供了一种在职何存在缝隙的系统上远程执行恶意代码的步骤�。�。。�。�。。�。�。这蕴含关键的 Active Directory 治理系统和主题域节造器�。�。。�。�。。�。�。微软忠告称�,,�,�,�,�,�,�,对该缝隙的利用会导致环境的机密性、齐全性和可用性受损�。�。。�。�。。�。�。
微软对 PrintNightmare 的披露促使 CISA 、 CERT 协调中心( CC )和其他机构颁布垂危建议�,,�,�,�,�,�,�,督促企业迅速禁用关键系统上的 Print Spooler 服务�。�。。�。�。。�。�。PrintNightmare 是微软持久存在缺点的 Print Spooler 技术钟注几个必须建补的缺点中较严沉的一个�。�。。�。�。。�。�。PrintNightmare 之所以极度沉要�,,�,�,�,�,�,�,是由于该缝隙存在于险些每个 Windows 系统上城市装置的“ Print Spoole ”服务中�。�。。�。�。。�。�。这意味着攻击者有一个巨大的攻击面作为指标�,,�,�,�,�,�,�,并且禁用这些服务并不总是可行的�,,�,�,�,�,�,�,由于必要它来方便打印�。�。。�。�。。�。�。
6. Accellion 入侵是屡次粉碎攻击趋向的例子
美国、加拿大、新加坡、荷兰和其他国度/地域多个组织在 2021 年 2 月遭逢了严沉的数据泄露事务�,,�,�,�,�,�,�,由于他们使用的 Accellion 文件传输服务存在缝隙�。�。。�。�。。�。�。零售企业 Kroger 是最大的受害者之一�,,�,�,�,�,�,�,其药房和诊所员工和数百万客户的数据惨遭泄露�。�。。�。�。。�。�。其他驰名的受害者还蕴含多达律师事务所、新加坡电信、华盛顿州和新西兰储蓄银行�。�。。�。�。。�。�。
Accellion 将该问题描述为“与其近乎过期的文件传输设备技术中的零日缝隙有关”�,,�,�,�,�,�,�,其时很多组织在使用该技术在其内部和表部传输大型文件�。�。。�。�。。�。�。安全厂商 Mandiant 的调查显示�,,�,�,�,�,�,�,攻击者使用 Accellion 技术中 4 个零日缝隙作为攻击链的一部门�。�。。�。�。。�。�。Mandiant 后来将这次攻击归因于与 Clop 勒索软件家族和 FIN11 (一个出于经济动机的 APT 组织)有关联的威胁行为者�。�。。�。�。。�。�。
Digital Shadows 网络威胁谍报分析师 Ivan Righi 暗示�,,�,�,�,�,�,�, Accellion 攻击是 2021 岁首的沉大安全事务�,,�,�,�,�,�,�,由于它展示了勒索软件供给链攻击的危险性�。�。。�。�。。�。�。Clop 勒索软件团伙可能利用 Accellion 文件传输设备( FTP )软件中的零日缝隙一次锁定多多企业�,,�,�,�,�,�,�,这大大削减了攻击者实现初始接见所需的工作和精力�。�。。�。�。。�。�。
7. 佛罗里达水务公司攻击事务提醒人们把稳关键基础设施
2021 年 2 月�,,�,�,�,�,�,�,一名攻击者入侵佛罗里达州奥兹马市一家水处置厂的系统�,,�,�,�,�,�,�,并试图扭转一种名为碱液的化学物质浓度�,,�,�,�,�,�,�,该化学物质用于节造水的酸度�。�。。�。�。。�。�。当入侵者试图将碱液水平提高 111 倍时被发现�,,�,�,�,�,�,�,在其造成败坏之前�,,�,�,�,�,�,�,很快得到了复原�。�。。�。�。。�。�。随后对该事务的分析显示�,,�,�,�,�,�,�,入侵者获得了属于水处置设施操作员的系统接见权限�,,�,�,�,�,�,�,可能使用被盗的 TeamViewer 痛处远程登录了该系统�。�。。�。�。。�。�。
这次入侵使美国关键基础设施在网络攻击刻下的持续脆弱性露出无遗�,,�,�,�,�,�,�,再次展示了入侵饮用水处置设施的监控和数据采集( SCADA )系统是多么单一的事件�。�。。�。�。。�。�。该事务还促使 CISA 忠告关键基础设施运营商�,,�,�,�,�,�,�,在环境中使用桌面共享软件和过期或靠近报废软件(如 Windows 7)的危险性�。�。。�。�。。�。�。
公安登记号:44030502000376