回顾:2021年度七大代表性网络安全事件

发布时间 - 2022-01-10 14:32:24    点击率:881次

2021年底公开暴露的 Log4j 漏洞迅速成为该年影响力最大的安全威胁。然而,这并不是企业安全团队面临的唯一难题,据身份盗窃资源中心( ITRC )的数据显示,仅 2021 年前三季度公开报告的数据泄露事件就多达 1,291 起;Redscan 对美国国家通用漏洞数据库( NVD )的一项新调研显示, 2021 年披露的漏洞数量( 18,439 个)比以往任何一年都多。更糟糕的是,其中绝大部分都可以被黑客甚至技术能力有限的攻击者利用。

以下列出了 2021 年最具代表性的 7 起网络安全事件,其中包含数据泄露、攻击和漏洞等。

1. 震惊业界的 Log4j 漏洞

2021年12月初, Log4j 日志框架中一个严重的远程代码执行漏洞震惊了整个行业,可以说,近年来很少有其他漏洞具备如此震慑力。这种担忧源于这样一个事实,即该工具在企业运营( OT )、软件即服务( SaaS )和云服务提供商( CSP )环境中普遍存在,且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、 PC 和任何其他设备的方法,包括存在日志工具的关键运营( OT)和工业控制系统( ICS )环境中的设备。

该漏洞( CVE-2021-44228 )存在于从 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通过多种方式利用。Apache 基金会最初发布了该工具的新版本( Apache Log4j 2.15.0 )试图解决问题,但此后不久又不得不发布另一个更新,因为第一个更新没能完全防止拒绝服务( DoS )攻击和数据盗窃。

截至 2021 年 12 月 17 日,暂未出现与此漏洞相关的重大数据泄露事件。然而,安全专家坚信攻击者一定会利用该漏洞,并在可预见的未来继续这样做,因为企业很难找到易受攻击系统的每一个实例并有效防范该漏洞。许多安全厂商报告了针对各种 IT 和 OT 系统(包括服务器、虚拟机、移动设备、人机界面系统和 SCADA 设备等)的广泛扫描活动,其中许多都涉及尝试投币挖掘工具、远程访问木马、勒索软件和 Web shell ;涉及的恶意行为者则包括已知的出于经济动机的威胁组织,以及来自伊朗和土耳其等国家支持的 APT 组织。

2. Colonial Pipeline 攻击将勒索软件提升至国家安全

2021 年 5 月,针对美国管道运营商 Colonial Pipeline 的勒索软件攻击占据了新闻头条,此举对美国广大民众造成了广泛影响:中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的短暂性天然气短缺。这起事件也成功将勒索软件提升为国家安全级别的问题,并引起了白宫的关注。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。

据悉,此次事件的原因是黑客组织使用了被盗的旧 VPN 凭据获得了对 Colonial Pipeline 网络的访问权限。这种攻击方法本身并非特别值得注意,但破坏本身却是可见的、有意义的,而且许多政府官员都能亲身感受到。这也促使美国两党和政府提高了使用可重用密码等问题的门槛。虽说高度关注可能不会产生立竿见影的进展,但它已经推动了国家层面对网络安全的关注。

3.  Kaseya 事件将人们的注意力集中在供应链风险上

2021 年 7 月初, IT 管理软件供应商 Kaseya 发生的安全事件,再次凸显了企业面临来自 IT 供应链中供应商的威胁正日益加剧。

该事件后来归因于 REvil/Sodinokibi 勒索软件组织的一个附属机构,其中涉及威胁行为者利用 Kaseya 虚拟系统管理员( VSA )技术中的三个漏洞,而许多托管服务提供商( MSP )使用该技术来管理其客户的网络。攻击者利用这些漏洞,使用 Kaseya VSA 在属于 MSP 下游客户的数千个系统上分发勒索软件。

Kaseya 攻击凸显了威胁行为者对一次性破坏多个目标(如软件供应商和服务提供商)的兴趣日益浓厚。虽然这不是典型的供应链攻击——因为它利用了已部署的 Kaseya VSA 服务器漏洞,但 MSP 向其客户分发软件的 Kaseya 机制是扩大攻击范围和速度的关键。该事件促使美国网络安全和基础设施安全局( CISA )发出多个威胁警报,并为 MSP 及其客户提供指导。

4.  Exchange Server 攻击引发修补狂潮

2021年3月初,当微软针对其 Exchange Server 技术中的四个漏洞(统称为“ ProxyLogon ”)发布紧急修复程序时,引发了一场前所未有的修补狂潮。

ProxyLogon 漏洞为威胁行为者提供了一种未经身份验证的远程访问 Exchange 服务器的方法。它本质上是一个电子版本,从企业的主要入口上移除所有访问控制、警卫和锁,这样任何人都可以进入。一些安全厂商的调查表明,几个威胁组织在补丁发布之前就已经瞄准了这些漏洞,并且在微软披露漏洞后,许多其他组织也加入了这一行动。攻击数量如此之多,以至于 F-Secure 称“ Exchange Server 被黑客入侵的速度比我们想象的要快”。

与许多其他供应商一样,微软当时也建议企业假设自己已被破坏并做出响应。在漏洞披露后不到三周,微软报告称,全球约 92% 的 Exchange 服务 IP 已被修补或缓解。但是,企业对攻击者在修补之前安装在 Exchange Server 上的 Web shell 的担忧仍然挥之不去,促使美国司法部采取了前所未有的措施,命令 FBI 主动从后门 Exchange Server 中删除 Web shell 。

5.  PrintNightmare 强调 Windows Print Spooler 技术的持续风险

很少有漏洞能比 PrintNightmare ( CVE-2021-34527 )更能反映微软的 Windows Print Spooler 技术给企业带来的持续风险。该漏洞于 2021 年 7 月披露,与 Spooler 服务中用于安装打印机驱动程序系统的特定功能有关。该问题影响了所有 Windows 版本,并为经过身份验证的攻击者提供了一种在任何存在漏洞的系统上远程执行恶意代码的方法。这包括关键的 Active Directory 管理系统和核心域控制器。微软警告称,对该漏洞的利用会导致环境的机密性、完整性和可用性受损。

微软对 PrintNightmare 的披露促使 CISA 、 CERT 协调中心( CC )和其他机构发布紧急建议,敦促企业迅速禁用关键系统上的 Print Spooler 服务。PrintNightmare 是微软长期存在缺陷的 Print Spooler 技术中、几个必须修补的缺陷中较严重的一个。PrintNightmare 之所以非常重要,是因为该漏洞存在于几乎每个 Windows 系统上都会安装的“ Print Spoole ”服务中。这意味着攻击者有一个巨大的攻击面作为目标,而且禁用这些服务并不总是可行的,因为需要它来方便打印。

6.  Accellion 入侵是多次破坏攻击趋势的例子

美国、加拿大、新加坡、荷兰和其他国家/地区多个组织在 2021 年 2 月遭遇了严重的数据泄露事件,因为他们使用的 Accellion 文件传输服务存在漏洞。零售企业 Kroger 是最大的受害者之一,其药房和诊所员工和数百万客户的数据惨遭泄露。其他著名的受害者还包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。

Accellion 将该问题描述为“与其近乎过时的文件传输设备技术中的零日漏洞有关”,当时许多组织正在使用该技术在其内部和外部传输大型文件。安全厂商 Mandiant 的调查显示,攻击者使用 Accellion 技术中 4 个零日漏洞作为攻击链的一部分。Mandiant 后来将这次攻击归因于与 Clop 勒索软件家族和 FIN11 (一个出于经济动机的 APT 组织)有关联的威胁行为者。

Digital Shadows 网络威胁情报分析师 Ivan Righi 表示, Accellion 攻击是 2021 年初的重大安全事件,因为它展示了勒索软件供应链攻击的危险性。Clop 勒索软件团伙能够利用 Accellion 文件传输设备( FTP )软件中的零日漏洞一次锁定众多企业,这大大减少了攻击者实现初始访问所需的工作和精力。

7. 佛罗里达水务公司攻击事件提醒人们注意关键基础设施

2021 年 2 月,一名攻击者入侵佛罗里达州奥兹马市一家水处理厂的系统,并试图改变一种名为碱液的化学物质浓度,该化学物质用于控制水的酸度。当入侵者试图将碱液水平提高 111 倍时被发现,在其造成损坏之前,很快得到了恢复。随后对该事件的分析显示,入侵者获得了属于水处理设施操作员的系统访问权限,可能使用被盗的 TeamViewer 凭据远程登录了该系统。

此次入侵使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗,再次展现了入侵饮用水处理设施的监控和数据采集( SCADA )系统是多么简单的事情。该事件还促使 CISA 警告关键基础设施运营商,在环境中使用桌面共享软件和过时或接近报废软件(如 Windows 7)的危险性。

参考链接:

https://www.darkreading.com/attacks-breaches/6-of-the-most-impactful-cybersecurity-incidents-of-2021

最新文章 第十二版《网络安全企业100强》发布 开源推荐算法为什么并不“可靠”? 虹膜写真风靡年轻人:小心泄露敏感个人信息 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首? Apache Struts文件上传漏洞 (CVE-2024-53677) 安全风险通告 工信部:关于防范新型勒索病毒Ymir的风险提示 美国报告揭示俄罗斯战略信息攻击:从攻击方法到战略效果 最危险的网络攻击:云勒索软件 个人信息保护合规审计:个人信息删除落地与审计 Forrester:Akamai创新微分段技术引领企业安全升级,实现 152%高ROI Fortinet发布《2025年网络威胁趋势预测报告》 揭秘四大威胁挑战 榜上有名!360入选2024年天津市网络安全应用场景优秀案例 只需一个暗号,即可戳穿语音克隆骗局 写在IDCC2024数字基础设施国际合作大会之前 IETF的运行方式及RFC的形成 《AI时代深度伪造和合成媒体的安全威胁与对策(2024版)》报告发布 UnitedHealth勒索软件攻击事件应吸取的六个备份教训 网络安全产品奥斯卡 2024年度赛可达优秀产品奖(SKD AWARDS) “危“”机“并存,五位网络安全大咖预警2025年安全态势 赋能智算未来,CDCE2024国际数据中心展12月5日上海璀璨开幕 俄罗斯黑客组织渗透和利用巴基斯坦黑客组织服务器案揭秘 国家安全部:警惕开源信息成为泄密源头 “清朗·网络平台算法典型问题治理”专项行动中的排名算法 游戏玩家请注意!Winos4.0木马已“潜伏” 2024 DAMS中国数据智能管理峰会即将在上海举办 WAF气数已尽? 网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 数字城市AI安全运营中心签约揭牌,360赋能长三角城市安全新篇章 勒索软件忙招人,2024年网络威胁五大新趋势 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 值得关注的十二大网络安全风险评估工具及选型指南 俄黑客通过“近邻攻击”远程入侵美国企业WiFi网络 四校签约、六家授牌!360与河南高校再摘网络安全人才培育新果实 Apple多个在野高危漏洞在野利用通告 苹果官方警告:零日漏洞攻击瞄准Mac电脑用户 《密码法》颁布五周年:法治成效、实施难点与未来走向 27天!揭秘身份管理中凭证修复为何如此艰难? 微软“清理门户”,禁止杀毒软件访问Windows内核 云原生环境下的七大网络安全威胁及应对建议 ​透析恶意软件“四大家族”
在线客服
联系方式

热线电话

18556842815

上班时间

周一到周五

公司电话

027-85365976

二维码
线