2021年最具影响力的七起网络安全事件

Mark wiens

发布时间:2023-02-11

2021年最具影响力的七起网络安全事件

  近日,darkreading网站刊登了一篇文章,盘点了2021年最具影响力的七起网络安全事件,现摘译如下,以供读者参考。

  12月10日公开的Log4j漏洞迅速成为2021年最重要的安全威胁之一。但是,到目前为止,这并不是安全团队全年必须努力解决的唯一问题。与每年一样,2021年也发生了影响许多组织的其他大数据泄露和安全事件。

  根据身份盗窃资源中心(ITRC)的数据,截至9月30日,其公开报告了 1,291起违规事件。这一数字已经比2020年全年披露的1,108起违规事件高出17%。如果这种趋势继续下去,2021年可能会打破2017年报告的 1,529起违规记录。但违规并不是唯一的问题。Redscan对美国国家通用漏洞数据库(NVD) 的一项新分析显示,今年迄今披露的漏洞数量(18,439个)比以往任何一年都多。Redscan发现,其中十分之九可以被黑客或技术能力有限的攻击者利用。

  对于每天保护组织免受威胁的安全团队来说,这些统计数据不太出人意料。但即便如此,这些数据还是反映了组织在2021年面临的挑战毫无疑问,明年也将继续面临。

  近来,Log4j日志记录框架中的一个严重的远程代码执行漏洞震撼了整个行业。这种担忧源于这样一个事实,即该工具在企业、运营技术 (OT)、软件即服务 (SaaS) 和云服务提供商 (CSP) 环境中普遍使用,而且相对容易利用。该漏洞为攻击者提供了一种远程控务器、PC和任何其他设备的方法,包括存在日志工具的关键OT和工业控制系统 (ICS) 环境中的设备。

  该漏洞(CVE-2021-44228) 存在于Log4j 2.0-beta9到Log4j 2.14.1版本中,可以通过多种方式利用。Apache基金会最初发布了该工具的新版本 (Apache Log4j 2.15.0) 来解决该问题,但此后不得不发布另一个更新,因为第一个更新没有完全防止拒绝服务 (DoS) 攻击和数据盗窃。

  截至12月17日,没有公开报告的与该漏洞相关的重大数据泄露。然而,安全专家毫不怀疑攻击者会利用该漏洞,因为组织很难找到易受攻击工具的每一个实例并防范该漏洞。

  许多安全供应商报告了针对各种IT和OT系统的广泛扫描活动,包括服务器、虚拟机、移动设备、人机界面 (HMI) 系统和SCADA设备。许多扫描活动都涉及尝试投币挖掘工具、远程访问特洛伊木马、勒索软件和 Web shell;其中包括已知的出于经济动机的威胁组织。

  5月份,对美国管道运营商科洛尼尔管道公司(Colonial Pipeline) 的勒索软件攻击,在新闻中占据了头条;因为它对美国民众产生了广泛的影响。

  由后来被确认为总部位于俄罗斯、名为DarkSide(黑暗面)的组织发起的这次袭击,导致科洛尼尔公司关闭了其5,500英里的管道,这是其历史上的第一次。此举中断了数百万加仑燃料的运输,并引发了美国东海岸大部分地区的暂时天然气短缺。这次事件的影响将勒索软件提升为级别的问题,并引发了白宫的反应。事件发生几天后,拜登总统发布了一项行政命令,要求联邦机构实施新的控制措施以加强网络安全。

  DarkSide使用被盗的旧虚拟专用网凭据获得了对科洛尼尔管道公司网络的访问权限。SANS研究所新兴安全趋势主管约翰佩斯卡托 (John Pescatore) 说,攻击方法本身并不是特别值得注意,但破坏本身“是可见的、有意义的,而且许多政府官员都能亲身感受到。”他说。

  IT管理软件供应商Kaseya 7 月初发生的安全事件,再次凸显了组织面临来自软件供应商和IT供应链中其他供应商的日益严重的威胁。

  该事件后来归因于REvil/Sodinokibi 勒索软件组织的一个附属机构,其中涉及威胁行为者利用Kaseya的虚拟系统管理员 (VSA) 技术中的三个漏洞,而许多托管服务提供商 (MSP) 使用该技术来管理其客户的网络。攻击者利用这些漏洞,使用Kaseya VSA在属于MSP下游客户的数千个系统上分发勒索软件。

  Huntress Labs的一项调查显示,攻击者在最初的利用活动之后不到两个小时,就在属于多个MSP的众多公司的系统上安装了勒索软件。

  该事件促使美国网络安全和基础设施安全局 (CISA) 发出多个威胁警报,并为MSP及其客户提供指导。

  Kaseya攻击凸显了威胁行为者对一次性破坏/危及许多目标(如软件供应商和服务提供商)的兴趣日益增长。虽然此类攻击已持续多年,但 太阳风(SolarWinds)事件和Kaseya事件,凸显了威胁日益严重。

  3月初,当微软针对其Exchange Server技术中的四个漏洞(统称为 ProxyLogon)发布紧急修复程序时,引发了一场前所未有的修补狂潮。

  一些安全供应商的后续调查表明,几个威胁组织在补丁发布之前就已经瞄准了这些漏洞,并且在微软披露漏洞后,许多其他组织也加入了这一行动。攻击数量如此之多,以至于F-Secure曾将全球易受攻击的 Exchange Server描述为“被黑客入侵的速度比我们想象的要快”。

  当链接在一起时,ProxyLogon缺陷为威胁行为者提供了一种未经身份验证的远程访问Exchange服务器的方法。

  “它本质上是一个电子版本,从公司的主要入口上移除所有门禁、警卫和锁,这样任何人都可以走进去,”F-Secure 当时指出。

  在漏洞披露后不到三周,微软报告称,全球约92%的Exchange服务IP已被修补或缓解。但是,对攻击者在修补之前安装在Exchange Server上的 Web shell的担忧挥之不去,促使美国司法部采取前所未有的措施,命令FBI主动从后门Exchange Server中删除 Web shell。

  SANS的佩斯卡托(Pescatore)说,Exchange Server的缺陷在很多方面都是坏消息。与Exchange Online相比,微软在针对本地安装进行修复方面的速度相对较慢,这使得问题更加严重。“与开发适用于不同的本地环境的修复程序相比,SaaS提供商能够更快地屏蔽其服务中的代码弱点,是有原因的,”佩斯卡托指出。

  很少有漏洞能比PrintNightmare(CVE-2021-34527)更突出微软的Windows Print Spooler技术给企业带来的持续风险。该漏洞于7月披露,与Spooler服务中用于安装打印机驱动程序系统的特定功能有关。该问题影响了所有Windows版本,并为经过身份验证的攻击者提供了一种在存在漏洞的任何系统上远程执行恶意代码的方法。这包括关键的Active Directory管理系统和核心域。微软警告称,对该漏洞的利用,会导致环境的机密性、完整性和可用性受到损失。

  微软对PrintNightmare的披露促使CISA、CERT协调中心 (CC) 和其他机构发出紧急建议,敦促组织迅速禁用关键系统上的Print Spooler 服务。最初的警报提到了微软在6月份针对Print Spooler中几乎相同的漏洞发布的补丁,称该补丁对PrintNightmare无效。微软后来澄清说,虽然PrintNightmare与6月份的缺陷相似,但它需要单独的补丁。

  PrintNightmare是今年微软长期存在缺陷的Print Spooler 技术中、几个必须修补的缺陷中最严重的一个。

  “PrintNightmare变得很重要,因为该漏洞存在于几乎每个 Windows系统上都安装的Print Spoole服务中,”Coalfire技术和企业副总裁安德鲁(Andrew Barratt) 说。他还补充说,这意味着攻击者有一个巨大的攻击面作为目标。“禁用这些服务并不总是可行的,因为需要它来促进打印”。

  美国、加拿大、新加坡、荷兰和其他国家/地区的多个组织在2月份遭遇了严重的数据泄露,因为他们使用的来自Accellion的文件传输服务存在漏洞。零售巨头克罗格是最大的受害者之一,其药房和诊所服务的员工和数百万客户的数据被暴露。其他著名的受害者包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。

  Accellion将这个问题描述为与其近乎过时的文件传输设备技术中的零日漏洞有关,当时许多组织正在使用该技术在其内部和外部传输大型文件。安全供应商Mandiant表示,其调查显示,攻击者使用了 Accellion 技术中多达四个零日漏洞作为攻击链的一部分。安全供应商后来将这次攻击归因于与 Clop 勒索软件家族和FIN11(一个出于经济动机的APT组织)有联系的威胁行为者。

  Digital Shadows的网络威胁情报分析师伊凡(Ivan Righi) 表示:“Accellion攻击是2021年初的重大事件,因为它展示了勒索软件供应链攻击的危险性。” “Clop勒索软件团伙能够利用Accellion的文件传输设备 (FTP) 软件中的零日漏洞一次锁定大量公司,这大大减少了实现初始访问所需的工作和精力。”

  今年2月,一名攻击者闯入佛罗里达州奥兹马市一家水处理厂的系统,试图改变一种名为碱液的化学物质的含量,这种化学物质用于控制水的酸度。当入侵者试图将碱液水平提高111倍时被发现;在造成任何损坏之前,更改很快就被逆转了。

  随后对该事件的分析显示,入侵者获得了对属于水处理设施操作员的系统的访问权限,可能使用被盗的TeamViewer凭据远程登录了该系统。此次入侵,使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗,特别是因为它表明入侵饮用水处理设施的监控和数据采集 (SCADA) 系统是多么的简单。

  这一事件促使CISA向关键基础设施运营商发出警告,提醒他们注意在环境中使用桌面共享软件和过时或接近报废的软件(如Windows 7)的危险。CISA表示,其建议是基于其观察结果以及FBI等其他机构的观察结果网络犯罪分子通过此类技术瞄准关键基础设施资产。

  “佛罗里达水务公司事件意义重大,因为它敲响了警钟,提醒人们公用事业很容易受到损害。”BreakQuest首席技术官杰克威廉姆斯(Jake Williams)说。

  (来源:darkreading。本文参考内容均来源于网络,仅供读者了解和掌握相关情况参考,不用于任何商业用途。侵删)

  在当前的互联网领域,大数据的应用已经十分广泛,尤其以企业为主,企业成为大数据应用的主体。大数据真能改变企业的运作方式吗答案毋庸置疑是肯定的。随着企业开始利用大数据,我们每天都会看到大数据新的奇妙的应用,帮助人们真正从中获益。大数据的应用已广泛深入我们生活的方方面面,涵盖医疗、交通、金融、教育、体育、零售等各行各业。

  “搜狐教育年度盛典暨中国教育60年成就奖颁奖活动”于2009年12月18日启动,通过搜狐网强大的平台优势资源以及网友和专家的评选,客观公正地对中国教育改革发展的成功和问题,进行深入、全面地回顾和研究探讨,并设置了“中国教育60年60人”、“建国60年中国教育百强品牌”等奖项。NIIT本次获得“建国60年中国教育百强品牌最具影响力IT培训品牌”殊荣,再次...

  51CTO编辑们特别制作了《网络十年,我们一起走过新世纪十年网络变迁》大型专题的第三季《十年最具影响力网络安全厂商评选》。评选专题分为“网络10年最具影响力网络厂商”和“网络10年最具影响力安全厂商”两大板块,收罗了网络基础设施、运维管理、布线、网关设备、内网安全、病毒木马等方面的一共44家业内知名厂商,经过网友三周的踊...

  日前,由中国电子信息产业发展研究院携手中国计算机行业协会、中国计算机用户协会、中国信息化推进联盟、《软件和信息服务》杂志社联合举办的“2011年度中国软件行业最具影响力奖项评选”活动落下帷幕。500余家国内外软件和信息服务领域企业历经3个月的激烈角逐和层层遴选,最终29家来自基础软件、管理软件、物联网、电子商务、平台服务、网络安全等领...

  很多人们认为,开源界并没有几个女性。但我们惊讶地发现,其实还是有很多女性投身开源事业的!但是,女性在开源界仍然总体高度不足。根据Flosspols在2006年的研究报告,开源社区只有1.5%的女性,而私有软件的女性比例为28%。开源社区是庞大的,因此即使1.5%的比例也包括了大量的女性。

免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186