2021年12月9日公布的Log4j2漏洞快速变成2021年最重要的安全性危害之一。可是,这并并不是安全性精英团队全年度务必勤奋处理的唯一问题。与以往一样,2021年也发生了危害很多机构的大网络安全问题。文中汇总了2021年极具知名度的十起网络安全问题。
1. Log4Shell:吃惊业内的Log4j2漏洞
12月9日,Log4j2 系统日志纪录架构中的一个明显的远程控制执行命令漏洞震撼人心了所有领域。这类忧虑来源于那样一个客观事实,即Log4j2专用工具在公司、经营技术性 (OT)、saas模式 (SaaS) 和云服务提供商 (CSP) 自然环境中广泛应用,并且相对性非常容易利用。该漏洞为攻击者给予了一种远程操作网络服务器、PC 和一切别的设施的方式,包含存有系统日志专用工具的重要 OT 和电力监控系统 (ICS) 自然环境中的机器设备。
该漏洞 ( CVE-2021-44228 ) 存有于 Log4j 2.0到 Log4j 2.15.0-RC1 版本号中,可以利用很多种方法利用。Apache 慈善基金会最开始公布了该专用工具的最新版本 (Apache Log4j 2.15.0) 来处理该问题,但此后没多久就迫不得已公布另一个升级,由于第一个升级沒有彻底避免拒绝服务攻击 (DoS) 攻击和数据信息偷盗。
新闻媒体报道称,丹麦国防部长互联网近期遭受未知攻击者的取得成功攻击,攻击者利用Apache log4j2的极大漏洞执行攻击。
安全性权威专家一点也不猜疑攻击者会利用该漏洞,并在可预料的将来再次那么做,由于机构难以寻找易受攻击专用工具的每一个案例并预防该漏洞。
2. 美国ColonialPipeline感柒勒索病毒,关键输油管道停止运营
5 月,美国较大的燃料管道公司Colonial Pipeline遭受勒索病毒攻击,5500公里输油管道停止运营。Colonial Pipeline每日从得克萨斯州运输250万桶原油到西海岸和纽约市,该管路遮盖了美国西海岸45%的燃料供货。这也是其在历史上的第一次。这一举动终断了上百万加仑燃料的运送,并引起了美国西海岸绝大多数地方的临时天燃气紧缺。
美国的某高官称,本次敲诈勒索攻击事情与总公司设在俄国的 DarkSide 的机构相关。DarkSide 应用失窃的旧虚拟专用网凭证得到了对 Colonial Pipeline 互联网的访问限制。SANS 研究室新起安全性发展趋势负责人罗伯特·佩斯卡托 (John Pescatore) 说,攻击方式实际上并没有尤其特别注意,但毁坏自身“是看得见的、更有意义的,并且很多政府部门岗位的人都能感受到,”他说道。
此次攻击个人行为的危害将勒索病毒提高为国家安全等级的忧虑,并引起了美国白宫的反映。事情产生几日后,潘基文美国总统公布了一项行政规章,规定联邦政府组织执行新的控制方法以加强网络信息安全。
3. Kaseya企业被勒索病毒攻击,危害全世界200家公司,又一次将注意力集中在供应链管理风险性上
7 月月初,IT 管理系统软件经销商 Kaseya 的系统软件被黑客攻击。网络黑客根据应用该公司的VSA商品来感柒客户,随后再根据勒索病毒来攻击这种客户。
受害人中有德国产品连锁加盟店Coop,这也是Kaseya顾客之一,该事情现阶段早已造成Coop的500家店铺门店关掉。网络信息安全企业Huntress称,最少有200家公司遭受危害。
该事情之后归功于 REvil/Sodinokibi 勒索病毒机构的一个附设组织,在其中涉及到危害个人行为者利用 Kaseya 的虚似网站管理员 (VSA) 技术性中的一组三个漏洞,很多代管服务提供商 (MSP) 应用这种漏洞来管理方法其用户的互联网。攻击者利用这种漏洞利用 Kaseya VSA 在归属于 MSP 中下游顾客的数千个系统软件上派发勒索病毒。
Kaseya产生的安全事故,再度彰显了机构遭遇来源于手机软件厂商和 IT 供应链管理中别的厂商的日趋严重的危害。尽管该类攻击已连续很多年,但SolarWinds事情 和 Kaseya事件彰显了危害日趋严重。
该事情促进美国网络信息安全和基础设施建设安全局 (CISA) 传出好几个危害报警,并为 MSP 以及顾客给予具体指导。
4. Microsoft Exchange Server的ProxyLogon和ProxyShell漏洞攻击,此启彼伏
微软公司的Microsoft Exchange Server,是一个电子邮箱、手机联系人、行程安排、万年历和协作平台。
3月初,当微软公司对于其 Exchange Server 技术性中的四个漏洞(通称为 ProxyLogon)公布应急修补程序流程时,这一举动引起了一场史无前例的修复风潮
ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)构成,这种漏洞可以被与此同时利用,用于建立一个预验证远程控制执行命令(RCE)漏洞。这代表着攻击者可以在不清楚一切合理帐户凭据的情形下接手网络服务器。这导致它们可以浏览电子邮箱通信系统,她们有机会提交一个webshell文档,还能够更进一步地攻击互联网,例如布署勒索病毒等。
一些安全性经销商的后面调研说明,好多个危害机构在补丁包公布以前就早已对准了这种漏洞,而且在微软公司公布漏洞后,很多其他组织也添加了这一行为。攻击总数如此之多,以致于 F-Secure 曾将全世界易受攻击的 Exchange Server叙述为“被黑客攻击的速率比大家预料的要快”。
并且,尽管官方网已公布了补丁包,但这对一些早已被侵入了的计算机毫无作用。出自于对攻击者在修复以前安裝在 Exchange Server 上的 Web shell 的忧虑难以释怀,促进美国司法部门采用史无前例的对策,指令 FBI积极从侧门的 Exchange Server 中删掉 Web shell。
ProxyShell事实上是由3个漏洞所串连,分别是微软公司于4月修复的CVE-2021-34473与CVE-2021-34523,及其5月修复的CVE-2021-31207。
这3个漏洞是由中国台湾安全性公司戴夫寇尔(Devcore)所公布,各自归属于远程控制程序流程攻击漏洞、管理权限扩大漏洞与安全性作用绕开漏洞,他们与此同时危害Microsoft Exchange Server 2010、2013、2016与2019。
ProxyShell是利用了Exchange网络服务器针对途径的不精确过虑造成的途径搞混转化成的SSRF,从而使攻击者根据浏览PowerShell节点。而在PowerShell端点可以利用Remote PowerShell来将电子邮件信息内容装包到外界文档,而攻击者可以利用结构故意电子邮件內容,利用文档载入写下webshell,进而达到指令实行。
ProxyShell漏洞比ProxyLogon漏洞更比较严重,由于ProxyShell更非常容易采掘,并且许多机构大部分并没有修复。安全性企业Huntress Labs的分析工作人员发觉,攻击者在1,900几台受传染的Microsoft Exchange网络服务器上构建了140好几个Webshell。
根据利用 ProxyLogon 和 ProxyShell,攻击者可以绕开通常的检测来防止被阻拦。Squirrelwaffle 攻击应当让客户当心新的对策,他们会想办法遮盖故意电子邮件和文档。来源于可靠手机联系人的邮件也无法确保无论哪些连接或文件包含在电子邮箱是可靠的。
5. PrintNightmare 又一个Windows漏洞
7月,微软公司发布了一个应急 Windows 修补补丁包,以修补存有于 Windows Print Spooler 服务项目中的一个重要缺点。该漏洞被称作“PrintNightmare”。
PrintNightmare在漏洞识别码为CVE-2021-34527,被评选为重要漏洞,由于攻击者可以在受影响设备内以系统软件级管理权限远程控制实行编码。它容许Print Spooler服务项目实行不法文档实际操作来远程控制实行编码。可以以 SYSTEM 管理权限实行任何编码,根据动态性载入第三方二进制文件,远程控制攻击者利用该漏洞可以彻底接手系统软件。这一漏洞一样是“2021年最应妥善处理“的一个漏洞。
因为 Windows Print Spooler 服务项目在Windows上默认设置运作,受该漏洞危害的电脑操作系统包含早已终止适用的Windows 7和Windows2008。由于其严重后果,微软公司推送了各种各样适用版本号的紧急更新补丁包,包含对于不会再适用的系统软件(Windows7和Windows2008)的补丁包。
6. 佛罗里达州水务公司网络黑客事情,重要基础设施建设非常容易遭受互联网攻击
2月,一名攻击者取得成功远程控制闯进加利福尼亚州诺斯兹马尔市一家水处理站的系统软件,尝试更改一种名叫烧碱溶液的有机化合物的成分,这类化合物用以操纵水的酸值。当侵略者尝试将烧碱溶液水准提升111倍时被发觉;并没有导致其他毁坏。
之后对该情况的解析表明,侵略者得到了对归属于污水处理设备操作工的系统软件访问限制,很有可能应用失窃的 TeamViewer 凭证远程登陆该系统软件。本次侵入使美国重要基础设施建设在互联网攻击眼前的不断易损性直露,尤其是由于它说明侵入饮用水处理设备的监测和数据采集 (SCADA) 系统软件是那么的简易。
该事情促进 CISA警示重要基础设施建设营运商,在自然环境中应用桌面共享手机软件和落伍或贴近损毁的手机软件(如 Windows 7)的风险。
所幸攻击未遂犯。安全性领域广泛认为,重要基础设施建设的网络安全现状和风险性已经由数据室内空间靠近物理学室内空间,处在暴发的前夕!
7. Accellion攻击,又是供应链管理攻击
2月,美国、澳大利亚、马来西亚、西班牙和其他国家/地域的好几个机构遭受了明显的数据泄漏,由于它们应用的Accellion 的文件传送服务项目存有漏洞。零售大佬克罗格是较大的受害人之一,其药店和门诊所业务的职工和上百万顾客的数据资料被曝露。别的知名的受害人包含众达法律事务所、马来西亚电信网、新泽西州和新加坡贮备金融机构。
Accellion将这一问题描述为与其说几近落伍的文件传送机器设备技术性中的零日漏洞相关,那时候很多机构已经应用该工艺在其机构内部结构和外界传送大中型文档。
经安全性经销商Mandiant调研,攻击者各自在2020年12月与2021年1月,应用了不一样的漏洞,她们先在12月乱用了CVE-2021-27101、CVE-2021 -27104,到了1月则是应用CVE-2021-27102、CVE-2021-27103,来对Accellion客户启动攻击。在干预调研后,又寻找2个新的FTA漏洞CVE-2021-27730与CVE-2021-27731。
此次攻击归功于与 Cl0p 勒索病毒大家族和 FIN11(一个出自于经济发展动因的 APT 机构)有联络的危害个人行为者。
此次安全事故,也促进Accellion针对FTA的维护保养整体规划作出重要决策──她们决策提早于2021年4月30日停止FTA的生命周期(EOL),并督促全部FTA客户尽早改成Kiteworks Content Firewall。在证明中,多次谈及FTA是超出20年的知名商品,且生命周期即将到来,并提议消费者要迁移到现行标准的Kiteworks Content Firewall。
“Accellion 进攻是 2021 今年初的大事件,因为它展现了勒索病毒供应链管理进攻的危险因素。”
“Cl0p 勒索病毒犯罪团伙可以运用 Accellion 的文件传送机器设备 [FTP] 手机软件中的零日系统漏洞与此同时对于很多企业,这大大减少了完成原始浏览需要的作业和活力。”
8. 宏碁遭勒索病毒进攻
3月。当总公司坐落于台湾省的海外电脑制造商宏碁遭受保释金进攻,网络攻击REvil机构发布了侵入宏碁系统软件的截屏,并索取5,000万美金,是那时候才行已经知道的最高的网络诈骗保释金。
据报道,互联网犯罪分子运用了Microsoft Exchange进攻导致的系统漏洞。
宏碁对巨大的敲诈勒索额度觉得十分吃惊,但是并沒有支付。因而,REvil 便在暗在网上发布了盗取而成的材料,包括宏碁会计的报表、金融机构盈余、金融机构通信文本文档等商业秘密原材料。
9. Dell BIOS 更新手机软件发生系统漏洞:可远程控制实行编码,危害上亿台计算机
5月,安全性科学研究组织 Eclypsium 近日发觉,Dell的远程控制 BIOS 更新手机软件发生了一个比较严重系统漏洞,会造成网络攻击挟持 BIOS 免费下载要求,并采用通过改动的资料开展进攻。这会促使网络黑客可以自动控制系统的运行全过程,毁坏电脑操作系统。
推动系统漏洞存有于名叫DBUtil 的档案资料中,被简称为 CVE-2021-21551。在其中 4 个系统漏洞可被用以提升管理权限,剩余的 1 个则存有被用以 DoS 进攻的风险性。
接到 Sentinel 的汇报后,Dell早已根据补丁包自动更新的形式将系统漏洞补上。依据它们的可能,自 2009 年之后大概有380个型号规格的商品均得到了危害,如果不修补得话很有可能就了解亿台计算机设备都是会再次曝露在风险性下。
10. LinkedIn数据泄漏,明天就是星期一了数据泄漏
在 4 月的一次数据收集事情中,5 亿 LinkedIn vip会员遭受危害后,该情况在 6 月再次出现。一个自称“GOD User TomLiner.”的网络黑客在RaidForums 上推送了一条包括 7 万件 LinkedIn 可售纪录的贴子。该广告宣传包括 100 万条纪录样版做为“直接证据”。Privacy Sharks 查验了完全免费样版,发觉纪录包含全称、性別、电子邮箱地址、联系电话和行业动态。现阶段尚不清楚数据信息的来源于是啥。据 LinkedIn 称,沒有产生一切互联网泄漏事情。