盘点2021年具有影响力的网络数据安全事件

2021年12月9日公开的Log4j2漏洞迅速成为2021年最重要的安全威胁之一。但是，这并不是安全团队全年必须努力解决的唯一问题。与往年一样，2021年也发生了影响许多组织的大网络安全事件。本文盘点了2021年最具影响力的十起网络数据安全事件。

1. Log4Shell：震惊业界的Log4j2漏洞

12月9日，Log4j2 日志记录框架中的一个严重的远程代码执行漏洞震撼了整个行业。这种担忧源于这样一个事实，即Log4j2工具在企业、运营技术 (OT)、软件即服务 (SaaS) 和云服务提供商 (CSP) 环境中普遍使用，而且相对容易利用。该漏洞为攻击者提供了一种远程控制服务器、PC 和任何其他设备的方法，包括存在日志工具的关键 OT 和工业控制系统 (ICS) 环境中的设备。

该漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0到 Log4j 2.15.0-RC1 版本中，可以通过多种方式利用。Apache 基金会最初发布了该工具的新版本 (Apache Log4j 2.15.0) 来解决该问题，但此后不久就不得不发布另一个更新，因为第一个更新没有完全防止拒绝服务 (DoS) 攻击和数据盗窃。

媒体报道称，比利时国防部网络最近受到不明攻击者的成功攻击，攻击者利用Apache log4j2的巨大漏洞实施攻击。

安全专家毫不怀疑攻击者会利用该漏洞，并在可预见的未来继续这么做，因为组织很难找到易受攻击工具的每一个实例并防范该漏洞。

2. 美国ColonialPipeline感染勒索软件，主要输油管停运

5 月份，美国最大的燃料管道公司Colonial Pipeline遭到勒索软件攻击，5500英里输油管停运。Colonial Pipeline每天从德克萨斯州输送250万桶石油到东海岸和纽约，该管道覆盖了美国东海岸45％的燃料供应。这是其历史上的第一次。此举中断了数百万加仑燃料的运输，并引发了美国东海岸大部分地区的暂时天然气短缺。

美国的某官员称，此次勒索攻击事件与总部位于俄罗斯的 DarkSide 的组织有关。DarkSide 使用被盗的旧 VPN 凭据获得了对 Colonial Pipeline 网络的访问权限。SANS 研究所新兴安全趋势主管约翰·佩斯卡托 (John Pescatore) 说，攻击方法本身并不是特别值得注意，但破坏本身“是可见的、有意义的，而且许多政府职位的人都能感受到，”他说。

这次攻击行为的影响将勒索软件提升为国家安全级别的担忧，并引发了白宫的反应。事件发生几天后，拜登总统发布了一项行政命令，要求联邦机构实施新的控制措施以加强网络安全。

3. Kaseya公司被勒索软件攻击，影响全球200家企业

7 月初，IT 管理软件供应商 Kaseya 的系统被黑客入侵。黑客通过使用该公司的VSA产品来感染用户，然后再通过勒索软件来攻击这些用户。

受害者中有瑞典杂货连锁店Coop，这是Kaseya客户之一，该事件目前已经导致Coop的500家商店店面关闭。信息安全公司Huntress称，至少有200家企业受到影响。

该事件后来归因于 REvil/Sodinokibi 勒索软件组织的一个附属机构，其中涉及威胁行为者利用 Kaseya 的虚拟系统管理员 (VSA) 技术中的一组三个漏洞，许多托管服务提供商 (MSP) 使用这些漏洞来管理其客户的网络。攻击者利用这些漏洞利用 Kaseya VSA 在属于 MSP 下游客户的数千个系统上分发勒索软件。

Kaseya发生的安全事件，再次凸显了组织面临来自软件供应商和 IT 供应链中其他供应商的日益严重的威胁。虽然此类攻击已持续多年，但SolarWinds事件 和 Kaseya事件凸显了威胁日益严重。

该事件促使美国网络安全和基础设施安全局 (CISA) 发出多个威胁警报，并为 MSP 及其客户提供指导。

4. Microsoft Exchange Server的ProxyLogon和ProxyShell漏洞攻击

微软的Microsoft Exchange Server，是一个电子邮件、联系人、日程安排、日历和协作平台。

3月初，当微软针对其 Exchange Server 技术中的四个漏洞（统称为 ProxyLogon）发布紧急修复程序时，此举引发了一场前所未有的修补狂潮

ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)组成，这些漏洞可以被同时利用，用来创建一个预认证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效账户凭证的情况下接管服务器。这使得他们能够访问电子邮件通信系统，他们还有机会上传一个webshell文件，还可以更进一步地攻击网络，例如部署勒索软件等。

一些安全供应商的后续调查表明，几个威胁组织在补丁发布之前就已经瞄准了这些漏洞，并且在微软披露漏洞后，许多其他组织也加入了这一行动。攻击数量如此之多，以至于 F-Secure 曾将全球易受攻击的 Exchange Server描述为“被黑客入侵的速度比我们想象的要快”。

而且，虽然官方已经发布了补丁，但这对于那些已经被入侵了的电脑毫无作用。出于对攻击者在修补之前安装在 Exchange Server 上的 Web shell 的担忧挥之不去，促使美国司法部采取前所未有的措施，命令 FBI主动从后门的 Exchange Server 中删除 Web shell。

ProxyShell实际上是由3个漏洞所串联，分别是微软于4月修补的CVE-2021-34473与CVE-2021-34523，以及5月修补的CVE-2021-31207。

这3个漏洞是由台湾安全企业戴夫寇尔（Devcore）所披露，分别属于远程程序攻击漏洞、权限扩张漏洞与安全功能绕过漏洞，它们同时影响Microsoft Exchange Server 2010、2013、2016与2019。

ProxyShell是利用了Exchange服务器对于路径的不准确过滤导致的路径混淆生成的SSRF，进而使攻击者通过访问PowerShell端点。而在PowerShell端点可以利用Remote PowerShell来将邮件信息打包到外部文件，而攻击者可以通过构造恶意邮件内容，利用文件写入写出webshell，从而达成命令执行。

ProxyShell漏洞比ProxyLogon漏洞更严重，因为ProxyShell更容易开采，而且很多组织基本上并未修补。安全公司Huntress Labs的研究人员发现，攻击者在1,900多台受感染的Microsoft Exchange服务器上部署了140多个Webshell。

通过利用 ProxyLogon 和 ProxyShell，攻击者能够绕过通常的检查来避免被阻止。Squirrelwaffle 攻击应该让用户警惕新的策略，它们会想办法掩盖恶意邮件和文件。来自可信联系人的电子邮件也不能保证无论什么链接或文件包含在电子邮件是安全的。

5. PrintNightmare 又一个Windows漏洞

7月，微软推出了一个紧急 Windows 修复补丁，以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。该漏洞被称之为“PrintNightmare”。

PrintNightmare在漏洞编号为CVE-2021-34527，被评为关键漏洞，因为攻击者可以在受影响机器上以系统级权限远程执行代码。它允许Print Spooler服务执行非法文件操作来远程执行代码。能够以 SYSTEM 权限执行任意代码，通过动态加载第三方二进制文件，远程攻击者利用该漏洞可以完全接管系统。这个漏洞同样是“2021年最该及时处理“的一个漏洞。

由于 Windows Print Spooler 服务在Windows上默认运行，受该漏洞影响的操作系统包括已经停止支持的Windows 7和Windows2008。因为其严重性，微软发布了各种支持版本的紧急更新补丁，包括针对不再支持的系统（Windows7和Windows2008）的补丁。

6. 佛罗里达水务公司黑客事件

2月，一名攻击者成功远程闯入佛罗里达州奥尔兹马尔市一家水处理厂的系统，试图改变一种名为碱液的化学物质的含量，这种化学物质用于控制水的酸度。当入侵者试图将碱液水平提高111倍时被发现；并未造成任何损坏。

后来对该事件的分析显示，入侵者获得了对属于水处理设施操作员的系统访问权限，可能使用被盗的 TeamViewer 凭据远程登录该系统。此次入侵使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗，特别是因为它表明入侵饮用水处理设施的监控和数据采集 (SCADA) 系统是多么的简单。

该事件促使 CISA警告关键基础设施运营商，在环境中使用桌面共享软件和过时或接近报废的软件（如 Windows 7）的危险。

所幸攻击未遂。安全行业普遍认为，关键基础设施的网络安全问题和风险正在由数字空间逼近物理空间，处于爆发的前夜！

7、Accellion攻击，又是供应链攻击

2月，美国、加拿大、新加坡、荷兰和其他国家/地区的多个组织遭遇了严重的数据泄露，因为他们使用的Accellion 的文件传输服务存在漏洞。零售巨头克罗格是最大的受害者之一，其药房和诊所服务的员工和数百万客户的数据被暴露。其他著名的受害者包括众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行。

Accellion将这个问题描述为与其近乎过时的文件传输设备技术中的零日漏洞有关，当时许多组织正在使用该技术在其组织内部和外部传输大型文件。

经安全供应商Mandiant调查，攻击者分别在2020年12月与2021年1月，使用了不同的漏洞，他们先在12月滥用了CVE-2021-27101、CVE-2021 -27104，到了1月则是使用CVE-2021-27102、CVE-2021-27103，来对Accellion用户发动攻击。在介入调查后，又找到2个新的FTA漏洞CVE-2021-27730与CVE-2021-27731。

这次攻击归因于与 Cl0p 勒索软件家族和 FIN11（一个出于经济动机的 APT 组织）有联系的威胁行为者。

本次事故，也促使Accellion对于FTA的维护规划做出重大决定──他们决定提前于2021年4月30日终止FTA的产品生命周期（EOL），并敦促所有FTA用户尽快改用Kiteworks Content Firewall。在声明中，多次提及FTA是超过20年的老牌产品，且产品生命周期将至，并建议用户要转移到现行的Kiteworks Content Firewall。

“Accellion 攻击是 2021 年初的重大事件，因为它展示了勒索软件供应链攻击的危险性。”

“Cl0p 勒索软件团伙能够利用 Accellion 的文件传输设备 [FTP] 软件中的零日漏洞同时针对大量公司，这大大减少了实现初始访问所需的工作和精力。”

8. 宏碁遭勒索软件攻击

3月。当总部位于台湾的跨国电脑制造商宏碁遭到赎金攻击，攻击者REvil组织公布了入侵宏碁系统的截图，并索要5,000万美元，是当时为止已知的最大的网络犯罪赎金。

据报导，网络罪犯利用了Microsoft Exchange攻击造成的漏洞。

宏碁对庞大的勒索金额感到非常震惊，不过并没有付款。因此，REvil 便在暗网上公布了窃取而来的资料，包含宏碁财务的表格、银行结余、银行通讯文档等机密材料。

9. 戴尔 BIOS 升级软件出现漏洞：影响上亿台电脑

5月，安全研究机构 Eclypsium 近日发现，戴尔的远程 BIOS 升级软件出现了一个严重漏洞，会导致攻击者劫持 BIOS 下载请求，并使用经过修改的文件进行攻击。这会使得黑客可以控制系统的启动过程，破坏操作系统。

驱动漏洞存在于名为DBUtil 的档案中，被统称为 CVE-2021-21551。其中 4 个漏洞可被用于提高权限，剩下的 1 个则存在被用于 DoS 攻击的风险。

收到 Sentinel 的报告后，戴尔已经通过补丁更新的方式将漏洞补上。根据他们的估计，自 2009 年后大约有380个型号的产品均受到了影响，如果不修复的话可能就有数亿台电脑设备都会继续暴露在风险之下。

10. LinkedIn数据泄露，又见数据泄露

在 4 月份的一次数据抓取事件中，5 亿 LinkedIn 会员受到影响后，该事件在 6 月份再次发生。一个自称为“GOD User TomLiner.”的黑客在RaidForums 上发布了一条包含 7 亿条 LinkedIn 待售记录的帖子。该广告包含 100 万条记录样本作为“证据”。Privacy Sharks 检查了免费样本，发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么。据 LinkedIn 称，没有发生任何网络泄露事件。[来源：安数君]