近日,darkreading网站发表了一篇文章,汇总了2021年极具知名度的七起网络安全问题,现摘译如下所示,以供阅读者参照。
从现在的漏洞和进攻中可以学习到许多。
(照片来自darkreading)
12月10日公布的Log4j漏洞快速变成2021年最重要的安全性危害之一。可是,到现在为止,这并并不是安全性精英团队全年度务必勤奋处理的唯一问题。与每一年一样,2021年也发生了危害很多机构的别的大数据泄漏和安全事故。
依据真实身份偷盗资源中心(ITRC)的数据信息,截止到9月30日,其公布汇报了 1,291起违规事情。这一数据早已比2020年全年度披露的1,108起违规事情高出17%。假如这类发展趋势坚持下去,2021年很有可能会摆脱2017年汇报的 1,529起违规纪录。但违规并非唯一的问题。Redscan对美国国家通用性漏洞数据库查询(NVD) 的一项新剖析表明,2022年至今披露的漏洞总数(18,439个)比过去一切一年都多。Redscan发觉,在其中十分之九可以被网络黑客或技术性能力有限的网络攻击运用。
针对每日保护组织免遭危害的安全性精英团队而言,这种数据统计不太出乎意料。但即使如此,这种信息或是体现了机构在2021年面临的挑战——不容置疑,来年也将再次遭遇。
下列列举了2021年极具知名度的七起网络安全问题。
吃惊业内的Log4j漏洞
近期,Log4j日志纪录架构中的一个明显的远程控制执行命令漏洞震撼人心了所有领域。这类忧虑来源于那样一个客观事实,即该专用工具在公司、经营技术性 (OT)、saas模式 (SaaS) 和云服务提供商 (CSP) 自然环境中广泛应用,并且相对性非常容易运用。该漏洞为网络攻击给予了一种远程操作网络服务器、PC和一切别的设施的方式,包含存有日志专用工具的重要OT和电力监控系统 (ICS) 自然环境中的机器设备。
该漏洞(CVE-2021-44228) 存有于Log4j 2.0-beta9到Log4j 2.14.1版本号中,可以利用很多种方法运用。Apache慈善基金会最开始公布了该专用工具的最新版本 (Apache Log4j 2.15.0) 来处理该问题,但此后迫不得已公布另一个升级,由于第一个升级沒有彻底避免拒绝服务攻击 (DoS) 进攻和数据信息偷盗。
截止到12月17日,沒有公布汇报的与该漏洞有关的重要数据泄漏。殊不知,安全性权威专家一点也不猜疑网络攻击会运用该漏洞,由于机构难以寻找易受攻击专用工具的每一个案例并预防该漏洞。
很多安全性经销商汇报了应对各种各样IT和OT系统软件的普遍扫描仪主题活动,包含网络服务器、vm虚拟机、直接使用移动端访问普通的网站,会因移动端宽度的限制因素,导致访问者需要左右滑动,以及放大的操作,才能、工业触摸屏 (HMI) 系统软件和SCADA机器设备。很多扫描仪主题活动都涉及到试着投币机发掘专用工具、远程连接特洛伊木马、勒索病毒和 Web shell;主要包括已经知道的出自于经济发展动因的危害机构。
科洛尼尔机械纪元管道公司遭袭将勒索病毒提高为国家安全隐患
5月份,对美国管路营运商科洛尼尔机械纪元管道公司(Colonial Pipeline) 的勒索病毒进攻,在新闻报道中占有了今日头条;因为它对美国群众造成了普遍的危害。
由之后被确定为总公司设在俄国、名叫DarkSide(阴暗面)的机构进行的此次围攻,造成科洛尼尔机械纪元企业关掉了其5,500公里的管路,这也是其在历史上的第一次。这一举动终断了上百万加仑然料的运送,并引起了美国西海岸绝大多数地方的临时天燃气紧缺。此次事情的危害将勒索病毒提高为国家安全等级的问题,并引起了美国白宫的反映。事情产生几日后,潘基文美国总统公布了一项行政规章,规定联邦政府组织执行新的控制方法以加强网络信息安全。
DarkSide应用失窃的旧虚拟专用网凭证得到了对科洛尼尔机械纪元管道公司互联网的访问限制。SANS研究室新起安全性发展趋势负责人罗伯特·佩斯卡托 (John Pescatore) 说,进攻方式实际上并没有尤其特别注意,但毁坏自身“是看得见的、更有意义的,并且很多政府官员都能亲自感受到。”他说道。
Kaseya事情使大家(再度)将注意力集中在供应链管理风险性上
IT管理手机软件经销商Kaseya 7 月月初产生的安全事故,再度彰显了机构遭遇来源于手机软件厂商和IT供应链管理中别的厂商的日益比较严重的危害。
该事情之后归功于REvil/Sodinokibi 勒索病毒机构的一个附设组织,在其中涉及到危害个人行为者运用Kaseya的虚似网站管理员 (VSA) 技术性中的三个漏洞,而很多代管服务提供商 (MSP) 应用该技术性来管理方法其用户的互联网。网络攻击运用这种漏洞,应用Kaseya VSA在归属于MSP中下游顾客的数千个系统软件上派发勒索病毒。
Huntress Labs的一项数据调查报告,网络攻击在起初的运用主题活动以后不上两个小时,就在归属于好几个MSP的诸多企业的系統上安裝了勒索病毒。
该事情促进美国网络信息安全和基础设施建设安全局 (CISA) 传出好几个危害报警,并且为MSP以及顾客给予具体指导。
Kaseya进攻突显了危害个人行为者对一次性毁坏/严重危害很多总体目标(如手机软件厂商和服务提供商)的兴趣爱好日益提高。尽管该类进攻已连续很多年,但 太阳风(SolarWinds)事情和Kaseya事件,突显了危害日益比较严重。
Vectra AI首席技术官奥立佛(Oliver Tavakoli)表明:“Kaseya 进攻尽管没有常见的供应链管理进攻——因为它运用了已布署的Kaseya VSA 网络服务器的漏洞——但MSP向其顾客派发手机软件的Kaseya体制是进攻的大范畴和迅速的重要。”
Exchange Server (ProxyLogon) 进攻引起修复风潮
3月初,当微软公司对于其Exchange Server技术性中的四个漏洞(通称为 ProxyLogon)公布应急修补程序流程时,引起了一场史无前例的修复风潮。
一些安全性经销商的后面调研说明,好多个危害机构在补丁包公布以前就早已对准了这种漏洞,而且在微软公司披露漏洞后,很多其他组织也添加了这一行为。进攻总数如此之多,以致于F-Secure曾将全世界易受攻击的 Exchange Server叙述为“被黑客攻击的速率比大家预料的要快”。
当连接在一起时,ProxyLogon缺点为危害个人行为者给予了一种没经身份认证的远程连接Exchange网络服务器的方式。
“它实质上是一个电子器件版本号,从企业的关键通道上清除全部门禁系统、警备和锁,那样所有人都能够走入去,”F-Secure 那时候强调。
在漏洞披露后还不到三周,微软公司汇报称,全世界约92%的Exchange服务项目IP已被修复或减轻。可是,对网络攻击在修复以前安裝在Exchange Server上的 Web shell的忧虑难以释怀,促进美国司法部门采用史无前例的对策,指令FBI积极从侧门Exchange Server中删掉 Web shell。
SANS的佩斯卡托(Pescatore)说,Exchange Server的缺点在许多领域全是不好的消息。与Exchange Online对比,微软公司在对于当地安裝开展修补层面的速率比较比较慢,这促使问题更为比较严重。“与开发设计适用不一样的当地自然环境的修补程序流程对比,SaaS服务提供商可以迅速地屏蔽其服务项目中的编码缺点,是有缘由的,”佩斯卡托强调。
PrintNightmare 注重了 Windows Print Spooler技术性的不断风险性
非常少有漏洞比得上PrintNightmare(CVE-2021-34527)更突显微软公司的Windows Print Spooler技术性给公司提供的不断风险性。该漏洞于7月披露,与Spooler服务项目中用以安装打印机驱动软件系统软件的相应作用相关。该问题影响到了全部Windows版本号,并为通过身份认证的网络攻击给予了一种在存有漏洞的一切系统软件上远程控制实行恶意程序的方式。这包含重要的Active Directory智能管理系统和关键域控制器。微软公司警示称,对该漏洞的运用,会造成自然环境的安全保密性、一致性和易用性遭受损害。
微软公司对PrintNightmare的披露促进CISA、CERT融洽核心 (CC) 和其它组织传出应急提议,督促机构快速禁止使用重要系统软件上的Print Spooler 服务项目。最开始的报警提及了微软公司在6月份对于Print Spooler中几乎同样的漏洞公布的补丁包,称该补丁对PrintNightmare失效。微软公司之后回应说,尽管PrintNightmare与6月份的缺点类似,但它必须独立的补丁包。
PrintNightmare是2022年微软公司长时间存在缺点的Print Spooler 技术性中、好多个务必修复的缺点中最明显的一个。
“PrintNightmare变得很重要,由于该漏洞存有于几乎每一个 Windows系统上面安裝的‘Print Spoole’服务项目中,”Coalfire技术性和公司高级副总裁麦金尼斯(Andrew Barratt) 说。他还填补说,这代表着网络攻击有一个很大的攻击面做为总体目标。“禁止使用这种服务项目并不一直可以的,由于要它来推动打印出”。
Accellion侵入是一次毁坏/多次破坏进攻发展趋势的一个事例
美国、澳大利亚、马来西亚、西班牙和别的国家/地域的好几个机构在2月遭受了明显的数据泄漏,由于它们应用的来源于Accellion的文件传送服务项目存有漏洞。零售大佬克罗格是较大的受害人之一,其药店和门诊所业务的职工和上百万顾客的数据资料被曝露。别的知名的受害人包含众达法律事务所、马来西亚电信网、新泽西州和新加坡贮备金融机构。
Accellion将这一问题描述为与其说几近落伍的文件传送机器设备技术性中的零日漏洞相关,那时候很多机构已经应用该工艺在其里面和外界传送大中型文档。安全性经销商Mandiant表明,其数据调查报告,网络攻击应用了 Accellion 技术性中高达四个零日漏洞做为攻击链的一部分。安全性经销商之后将此次进攻归功于与 Clop 勒索病毒大家族和FIN11(一个出自于经济发展动因的APT机构)有联络的危害个人行为者。
Digital Shadows的互联网威胁情报投资分析师伊凡(Ivan Righi) 表明:“Accellion进攻是2021年初的大事件,因为它展现了勒索病毒供应链管理进攻的危险因素。” “Clop勒索病毒犯罪团伙可以运用Accellion的文件传送机器设备 (FTP) 手机软件中的零日漏洞一次锁住很多企业,这大大减少了完成原始浏览需要的作业和活力。”
佛罗里达州水务公司网络黑客事情提示大家,重要基础设施建设非常容易遭受黑客攻击
2022年2月,一名网络攻击闯进加利福尼亚州奥兹马市一家水处理站的系统软件,尝试更改一种名叫烧碱溶液的有机化合物的成分,这类化合物用以操纵水的酸值。当侵略者尝试将烧碱溶液水准提升111倍时被发觉;在导致其他毁坏以前,变更迅速就被反转了。
接着对该情况的解析表明,侵略者得到了对归属于污水处理设备操作工的系統的访问限制,很有可能应用失窃的TeamViewer凭证远程登陆了该系统软件。本次侵入,使美国重要基础设施建设在黑客攻击眼前的不断易损性直露,尤其是由于它说明侵入饮用水处理设备的监测和数据采集 (SCADA) 系统软件是那么的简易。
这一事情促使CISA向重要基础设施营运商传出警示,提示她们留意在自然环境中应用桌面共享软件和落伍或接近损毁的软件(如Windows 7)的风险。CISA表明,其提议是根据其观查結果——及其FBI等别的单位的观测結果——互联网犯罪嫌疑人根据该类技术性看准重要基础设施财产。
“佛罗里达州水务公司事情极其重要,因为它打响了敲警钟,提示大家公共事业非常容易遭受危害。”BreakQuest首席技术官伊丽莎白斯旺·威廉姆斯(Jake Williams)说。
(来源于:darkreading。文中参照內容均来自互联网,仅作阅读者掌握和了解有关状况参照,不用以一切商业行为。侵删)