近日，darkreading網站刊登了一篇文章，盤點了2021年最具影響力的七起網絡安全事件，現摘譯如下，以供讀者參考。

從今年的漏洞和攻擊中可以學到很多。

(圖片來源于darkreading)

12月10日公開的Log4j漏洞迅速成為2021年最重要的安全威脅之一。但是，到目前為止，這并不是安全團隊全年必須努力解決的唯一問題。與每年一樣，2021年也發生了影響許多組織的其他大數據泄露和安全事件。

根據身份盜竊資源中心(ITRC)的數據，截至9月30日，其公開報告了 1,291起違規事件。這一數字已經比2020年全年披露的1,108起違規事件高出17%。如果這種趨勢繼續下去，2021年可能會打破2017年報告的 1,529起違規記錄。但違規并不是唯一的問題。Redscan對美國國家通用漏洞數據庫(NVD) 的一項新分析顯示，今年迄今披露的漏洞數量(18,439個)比以往任何一年都多。Redscan發現，其中十分之九可以被黑客或技術能力有限的攻擊者利用。

對于每天保護組織免受威脅的安全團隊來說，這些統計數據不太出人意料。但即便如此，這些數據還是反映了組織在2021年面臨的挑戰——毫無疑問，明年也將繼續面臨。

以下列出了2021年最具影響力的七起網絡安全事件。

震驚業界的Log4j漏洞

近來，Log4j日志記錄框架中的一個嚴重的遠程代碼執行漏洞震撼了整個行業。這種擔憂源于這樣一個事實，即該工具在企業、運營技術 (OT)、軟件即服務 (SaaS) 和云服務提供商 (CSP) 環境中普遍使用，而且相對容易利用。該漏洞為攻擊者提供了一種遠程控制服務器、PC和任何其他設備的方法，包括存在日志工具的關鍵OT和工業控制系統 (ICS) 環境中的設備。

該漏洞(CVE-2021-44228) 存在于Log4j 2.0-beta9到Log4j 2.14.1版本中，可以通過多種方式利用。Apache基金會最初發布了該工具的新版本 (Apache Log4j 2.15.0) 來解決該問題，但此后不得不發布另一個更新，因為第一個更新沒有完全防止拒絕服務 (DoS) 攻擊和數據盜竊。

截至12月17日，沒有公開報告的與該漏洞相關的重大數據泄露。然而，安全專家毫不懷疑攻擊者會利用該漏洞，因為組織很難找到易受攻擊工具的每一個實例并防范該漏洞。

許多安全供應商報告了針對各種IT和OT系統的廣泛掃描活動，包括服務器、虛擬機、移動設備、人機界面 (HMI) 系統和SCADA設備。許多掃描活動都涉及嘗試投幣挖掘工具、遠程訪問特洛伊木馬、勒索軟件和 Web shell;其中包括已知的出于經濟動機的威脅組織。

科洛尼爾管道公司遇襲將勒索軟件提升為國家安全問題

5月份，對美國管道運營商科洛尼爾管道公司(Colonial Pipeline) 的勒索軟件攻擊，在新聞中占據了頭條;因為它對美國民眾產生了廣泛的影響。

由后來被確認為總部位于俄羅斯、名為DarkSide(黑暗面)的組織發起的這次襲擊，導致科洛尼爾公司關閉了其5,500英里的管道，這是其歷史上的第一次。此舉中斷了數百萬加侖燃料的運輸，并引發了美國東海岸大部分地區的暫時天然氣短缺。這次事件的影響將勒索軟件提升為國家安全級別的問題，并引發了白宮的反應。事件發生幾天后，拜登總統發布了一項行政命令，要求聯邦機構實施新的控制措施以加強網絡安全。

DarkSide使用被盜的舊虛擬專用網憑據獲得了對科洛尼爾管道公司網絡的訪問權限。SANS研究所新興安全趨勢主管約翰·佩斯卡托 (John Pescatore) 說，攻擊方法本身并不是特別值得注意，但破壞本身“是可見的、有意義的，而且許多政府官員都能親身感受到。”他說。

Kaseya事件使人們(再次)將注意力集中在供應鏈風險上

IT管理軟件供應商Kaseya 7 月初發生的安全事件，再次凸顯了組織面臨來自軟件供應商和IT供應鏈中其他供應商的日益嚴重的威脅。

該事件后來歸因于REvil/Sodinokibi 勒索軟件組織的一個附屬機構，其中涉及威脅行為者利用Kaseya的虛擬系統管理員 (VSA) 技術中的三個漏洞，而許多托管服務提供商 (MSP) 使用該技術來管理其客戶的網絡。攻擊者利用這些漏洞，使用Kaseya VSA在屬于MSP下游客戶的數千個系統上分發勒索軟件。

Huntress Labs的一項調查顯示，攻擊者在最初的利用活動之后不到兩個小時，就在屬于多個MSP的眾多公司的系統上安裝了勒索軟件。

該事件促使美國網絡安全和基礎設施安全局 (CISA) 發出多個威脅警報，并為MSP及其客戶提供指導。

Kaseya攻擊凸顯了威脅行為者對一次性破壞/危及許多目標(如軟件供應商和服務提供商)的興趣日益增長。雖然此類攻擊已持續多年，但 太陽風(SolarWinds)事件和Kaseya事件，凸顯了威脅日益嚴重。

Vectra AI首席技術官奧立佛(Oliver Tavakoli)表示：“Kaseya 攻擊雖然不是典型的供應鏈攻擊——因為它利用了已部署的Kaseya VSA 服務器的漏洞——但MSP向其客戶分發軟件的Kaseya機制是攻擊的大范圍和快速的關鍵。”

Exchange Server (ProxyLogon) 攻擊引發修補狂潮

3月初，當微軟針對其Exchange Server技術中的四個漏洞(統稱為 ProxyLogon)發布緊急修復程序時，引發了一場前所未有的修補狂潮。

一些安全供應商的后續調查表明，幾個威脅組織在補丁發布之前就已經瞄準了這些漏洞，并且在微軟披露漏洞后，許多其他組織也加入了這一行動。攻擊數量如此之多，以至于F-Secure曾將全球易受攻擊的 Exchange Server描述為“被黑客入侵的速度比我們想象的要快”。

當鏈接在一起時，ProxyLogon缺陷為威脅行為者提供了一種未經身份驗證的遠程訪問Exchange服務器的方法。

“它本質上是一個電子版本，從公司的主要入口上移除所有門禁、警衛和鎖，這樣任何人都可以走進去，”F-Secure 當時指出。

在漏洞披露后不到三周，微軟報告稱，全球約92%的Exchange服務IP已被修補或緩解。但是，對攻擊者在修補之前安裝在Exchange Server上的 Web shell的擔憂揮之不去，促使美國司法部采取前所未有的措施，命令FBI主動從后門Exchange Server中刪除 Web shell。

SANS的佩斯卡托(Pescatore)說，Exchange Server的缺陷在很多方面都是壞消息。與Exchange Online相比，微軟在針對本地安裝進行修復方面的速度相對較慢，這使得問題更加嚴重。“與開發適用于不同的本地環境的修復程序相比，SaaS提供商能夠更快地屏蔽其服務中的代碼弱點，是有原因的，”佩斯卡托指出。

PrintNightmare 強調了 Windows Print Spooler技術的持續風險

很少有漏洞能比PrintNightmare(CVE-2021-34527)更突出微軟的Windows Print Spooler技術給企業帶來的持續風險。該漏洞于7月披露，與Spooler服務中用于安裝打印機驅動程序系統的特定功能有關。該問題影響了所有Windows版本，并為經過身份驗證的攻擊者提供了一種在存在漏洞的任何系統上遠程執行惡意代碼的方法。這包括關鍵的Active Directory管理系統和核心域控制器。微軟警告稱，對該漏洞的利用，會導致環境的機密性、完整性和可用性受到損失。

微軟對PrintNightmare的披露促使CISA、CERT協調中心 (CC) 和其他機構發出緊急建議，敦促組織迅速禁用關鍵系統上的Print Spooler 服務。最初的警報提到了微軟在6月份針對Print Spooler中幾乎相同的漏洞發布的補丁，稱該補丁對PrintNightmare無效。微軟后來澄清說，雖然PrintNightmare與6月份的缺陷相似，但它需要單獨的補丁。

PrintNightmare是今年微軟長期存在缺陷的Print Spooler 技術中、幾個必須修補的缺陷中最嚴重的一個。

“PrintNightmare變得很重要，因為該漏洞存在于幾乎每個 Windows系統上都安裝的‘Print Spoole’服務中，”Coalfire技術和企業副總裁安德魯(Andrew Barratt) 說。他還補充說，這意味著攻擊者有一個巨大的攻擊面作為目標。“禁用這些服務并不總是可行的，因為需要它來促進打印”。

Accellion入侵是一次破壞/多次破壞攻擊趨勢的一個例子

美國、加拿大、新加坡、荷蘭和其他國家/地區的多個組織在2月份遭遇了嚴重的數據泄露，因為他們使用的來自Accellion的文件傳輸服務存在漏洞。零售巨頭克羅格是最大的受害者之一，其藥房和診所服務的員工和數百萬客戶的數據被暴露。其他著名的受害者包括眾達律師事務所、新加坡電信、華盛頓州和新西蘭儲備銀行。

Accellion將這個問題描述為與其近乎過時的文件傳輸設備技術中的零日漏洞有關，當時許多組織正在使用該技術在其內部和外部傳輸大型文件。安全供應商Mandiant表示，其調查顯示，攻擊者使用了 Accellion 技術中多達四個零日漏洞作為攻擊鏈的一部分。安全供應商后來將這次攻擊歸因于與 Clop 勒索軟件家族和FIN11(一個出于經濟動機的APT組織)有聯系的威脅行為者。

Digital Shadows的網絡威脅情報分析師伊凡(Ivan Righi) 表示：“Accellion攻擊是2021年初的重大事件，因為它展示了勒索軟件供應鏈攻擊的危險性。” “Clop勒索軟件團伙能夠利用Accellion的文件傳輸設備 (FTP) 軟件中的零日漏洞一次鎖定大量公司，這大大減少了實現初始訪問所需的工作和精力。”

佛羅里達水務公司黑客事件提醒人們，關鍵基礎設施容易受到網絡攻擊

今年2月，一名攻擊者闖入佛羅里達州奧茲馬市一家水處理廠的系統，試圖改變一種名為堿液的化學物質的含量，這種化學物質用于控制水的酸度。當入侵者試圖將堿液水平提高111倍時被發現;在造成任何損壞之前，更改很快就被逆轉了。

隨后對該事件的分析顯示，入侵者獲得了對屬于水處理設施操作員的系統的訪問權限，可能使用被盜的TeamViewer憑據遠程登錄了該系統。此次入侵，使美國關鍵基礎設施在網絡攻擊面前的持續脆弱性暴露無遺，特別是因為它表明入侵飲用水處理設施的監控和數據采集 (SCADA) 系統是多么的簡單。

這一事件促使CISA向關鍵基礎設施運營商發出警告，提醒他們注意在環境中使用桌面共享軟件和過時或接近報廢的軟件(如Windows 7)的危險。CISA表示，其建議是基于其觀察結果——以及FBI等其他機構的觀察結果——網絡犯罪分子通過此類技術瞄準關鍵基礎設施資產。

“佛羅里達水務公司事件意義重大，因為它敲響了警鐘，提醒人們公用事業很容易受到損害。”BreakQuest首席技術官杰克·威廉姆斯(Jake Williams)說。

(來源：darkreading。本文參考內容均來源于網絡，僅供讀者了解和掌握相關情況參考，不用于任何商業用途。侵刪)