從Heartbleed到Apache Struts再到SolarWinds，這些是過去10年來發生的分水嶺式的網絡安全事件。

在過去十年，網絡安全行業經歷了相當多的分水嶺時刻，這些時刻對網絡安全格局產生了重大影響。嚴重的漏洞、廣泛的網絡攻擊已經改變了網絡安全的許多方面。為了回顧過去10年發生的安全事件，網絡安全供應商Trustwave公司日前發表了一篇名為《十年回顧：漏洞狀態》的博客文章，其中列出了過去10年中最突出和最值得注意的10個網絡安全問題和違規行為。

該文章寫道：“很難完整講述過去10年網絡安全行業發生的各個故事，因為安全工具和事件記錄器最近發展如此之快，以至于我們現在認為理所當然的許多指標在10年前根本不存在。然而，可用的數據提供了足夠的信息來發現一些重要的發展趨勢。根據美國國家漏洞數據庫(NVD)、Exploit-DB漏洞數據庫、VulnIQ和Trustwave公司的安全數據等來源，最明顯的趨勢是安全事件和漏洞的數量不斷增加，并且變得更加復雜。”

以下是Trustwave公司定義的在過去十年發生的10起分水嶺式安全事件，排名不分先后。

1、SolarWinds黑客攻擊和FireEye漏洞

2020年12月，對網絡監控工具SolarWinds Orion供應鏈的網絡攻擊事件被Trustwave公司稱之為“十年來最嚴重和最具破壞性的網絡安全事件，該事件在全球范圍內引起了軒然大波。多家公司和美國政府機構成為該活動的受害者，網絡犯罪分子利用FireEye紅隊工具和內部威脅情報數據植入惡意后門更新(稱為SUNBURST)，影響了大約18000名客戶，并使網絡攻擊者能夠修改、竊取和破壞網絡上的數據。Trustwave公司表示，盡管SolarWinds在2020年12月13日發布了補丁，但受感染的服務器如今仍然使用，網絡攻擊仍在發生，這是因為很多企業不知道在補丁之前設置休眠向量。

去年12月，前美國國家安全局黑客、安全咨詢機構TrustedSec公司的創始人David Kennedy在接受行業媒體采訪時說：“當你看到SolarWinds攻擊發生的事情時，這是一個典型的例子，說明網絡攻擊者可以選擇部署其產品的任何目標，很多受害者是分布在世界各地的大量公司，而大多數企業都沒有能力將其納入從檢測和預防角度作出的反應。”

2021年6月，里士滿大學管理學教授兼風險管理和工業與運營工程專家Shital Thekdi表示，SolarWinds遭遇的網絡攻擊是史無前例的，因為它能夠造成重大的物理后果，可能會影響關鍵基礎設施提供商的能源和制造能力，并造成持續的入侵，應被視為具有潛在巨大危害的嚴重事件。

2、EternalBlue漏洞利用和WannaCry/NotPetya勒索軟件攻擊

Trustwave公司名單的下一個是2017年的EternalBlue漏洞利用和隨后發生的WannaCry/NotPetya勒索軟件事件。黑客組織ShadowBrokers泄露了從美國國家安全局(NSA)竊取的重大漏洞利用，這些漏洞被用于執行極具破壞性的WannaCry和NotPetya勒索軟件攻擊，影響了全球數千個系統，對英國和烏克蘭的衛生服務造成了特別的損害。最重要的漏洞利用被稱為EternalBlue，針對的是CVE-2017-0144漏洞，微軟公司在ShadowBrokers泄漏前一個月修補了該漏洞。Trustwave公司稱，EternalBlue漏洞利用至今仍活躍在流行的聯網設備搜索引擎Shodan中，目前列出了7500多個易受攻擊的系統。

2017年，RiskSense公司研究人員表示，“EternalBlue漏洞利用非常危險，因為它可以提供對幾乎所有未打補丁的Microsoft Windows系統的即時、遠程和未經身份驗證的訪問，這是家庭用戶和商業世界中使用最廣泛的操作系統之一。”

3、OpenSSL中的Heartbleed漏洞

Trustwave公司在文章中聲稱，在2014年出現的Heartbleed漏洞如今繼續肆虐，估計迄今為止威脅到20多萬個易受攻擊的系統。安全研究人員在OpenSSL(一種保護Web的加密技術)中發現了嚴重缺陷(CVE-2014-0160)。它之所以被稱為Heartbleed，是因為OpenSSL的TLS/DTLS(傳輸層安全協議)擴展組件(RFC6520)的實現中存在該漏洞，并允許互聯網上的任何人讀取系統的內存。

Heartbleed漏洞引起了大規模的恐慌，并很快被標記為互聯網歷史上最嚴重的安全漏洞之一。信息安全先驅Bruce Schneier在他的博客文章中說：“如果將災難性在1到10的范圍內分類的話，那么Heartbleed帶來的災難是11。”

在2014年撰寫的一篇文章中，安全顧問Roger Grimes制定了一個三步計劃，以幫助企業控制其OpenSSL環境并緩解Heartbleed漏洞。OpenSSL可能在60%或更多的網站上運行HTTPS連接，并用于許多其他使用基于SSL/TLS的協議的流行服務，如POP/S、IMAP/S和VPN。如果可以連接到基于SSL/TLS的服務，并且它沒有運行Microsoft Windows或Apple OSX，那么很有可能它很容易受到攻擊。

4、在Bash中執行Shellshock遠程代碼

Trustwave公司在文章中指出，Shellshock(CVE-2014-7169)是“Bourne Again Shell”(Bash)命令行界面中的一個錯誤，在2014年被發現之前已經存在了30年。該公司補充說：“該漏洞被認為比Heartbleed更嚴重，因為它允許網絡攻擊者在沒有用戶名和密碼的情況下完全控制系統。”雖然在2014年9月發布了一個補丁，Shellshock漏洞當前處于非活動狀態，而黑客利用DNS劫持來訪問敏感系統。

Easy Solutions公司首席技術官Daniel Ingevaldson在2014年發表評論說：“利用這一漏洞依賴于可以從互聯網以某種方式訪問bash功能。bash的問題在于它被用于任何事情。在基于Linux的系統上，bash是默認的shell，任何啟用web的進程需要調用shell來處理輸入、運行命令(例如ping、sed或grep等)時，它都會調用Bash。”

5、ApacheStruts遠程命令注入和Equifax漏洞

這個嚴重的零日漏洞影響了2017年發現的Web應用程序開發框架Apache Struts 2中的Jakarta Multipart解析器。這個漏洞允許通過錯誤地解析攻擊者的無效Content-Type HTTP標頭來進行遠程命令注入攻擊。在幾個月之后，信用報告巨頭Equifax公司宣布，黑客已經獲得了企業數據的訪問權限，這些數據可能會泄露美國、英國和加拿大等國家的1.43億人的敏感信息。進一步分析發現，網絡攻擊者使用該漏洞(CVE-2017-5638)作為初始攻擊向量。

2017年9月，威脅情報機構SurfWatch Labs的首席安全策略師Adam Meyer表示：“這種特殊的數據泄露將影響許多企業和聯邦機構用來打擊其自身形式的欺詐行為的利用身份驗證堆棧。”Trustwave公司認為此漏洞當前處于非活動狀態。

6、推測執行漏洞Meltdown和Spectre

Trustwave公司在其下一個列表中引用了2018年被稱為Meltdown和Spectre的重大CPU漏洞。這些屬于一類稱為推測執行漏洞，網絡攻擊者可以將其作為攻擊目標，利用運行計算機的CPU來訪問存儲在其他運行程序內存中的數據。博客文章寫道，“Meltdown(CVE-2017-5754)破壞了阻止應用程序訪問任意系統內存的機制。Spectre(CVE-2017-5753和CVE-2017-5715)欺騙其他應用程序訪問其內存中的任意位置。兩種攻擊都使用側通道從目標內存位置獲取信息。”

這兩個漏洞都很重要，因為它們開啟了危險攻擊的可能性。正如2018年安全行業媒體在一篇文章中所述，“例如，網站上的JavaScript代碼可以使用Spectre來欺騙網絡瀏覽器以泄露用戶和密碼信息。網絡攻擊者可以利用Meltdown查看其他用戶擁有的數據，甚至是同一硬件上托管的其他虛擬服務器，這對云計算主機來說可能是災難性的。”值得慶幸的是，Trustwave公司表示，Meltdown和Spectre似乎處于非活動狀態，目前沒有發現任何漏洞。

7、BlueKeep和遠程桌面作為訪問媒介

在大規模遠程工作以及2020年3月發生的新冠疫情引發的安全風險之前的幾年，網絡犯罪分子以遠程桌面為攻擊目標，利用RDP漏洞竊取個人數據、登錄憑據和安裝勒索軟件。然而，2019年，隨著BlueKeep的發現，遠程桌面作為攻擊向量的威脅真正凸顯出來，BlueKeep是Microsoft遠程桌面服務中的一個遠程代碼執行漏洞。Trustwave公司在文章中寫道：“安全研究人員認為BlueKeep特別嚴重，因為它是可攻擊的，這意味著網絡攻擊者可以利用它在計算機之間傳播惡意軟件，而無需人工干預。”

事實上，這就是問題的嚴重性，美國國家安全局(NSA)就該問題發布了提出自己的建議，“這是惡意網絡行為者經常通過使用專門針對該漏洞的軟件代碼來利用的漏洞類型。例如，可以利用該漏洞進行拒絕服務攻擊。遠程利用工具廣泛用于這一漏洞可能只是時間問題。美國國家安全局(NSA)擔心惡意網絡攻擊者會利用勒索軟件中的漏洞和包含其他已知漏洞的漏洞利用工具包，從而增強針對其他未修補系統的能力。”

Trustwave公司表示，BlueKeep仍然處于活動狀態，并在Shodan上發現了3萬多個易受攻擊的實例。

8、Drupalgeddon系列和CMS漏洞

Trustwave公司表示，Drupalgeddon系列包括兩個關鍵漏洞，如今美國聯邦調查局(FBI)認為這些漏洞仍然活躍。第一個漏洞是CVE-2014-3704，于2014年被發現，以開源內容管理系統DrupalCore中的SQL注入漏洞的形式出現，威脅參與者利用該漏洞入侵大量網站。在四年之后，Drupal安全團隊披露了另一個名為Drupalgeddon 2(CVE-2018-7600)的極其嚴重的漏洞，該漏洞是由于Drupal7Form API上的輸入驗證不足而導致未經身份驗證的攻擊者可以在默認或常見Drupal安裝和執行遠程代碼。網絡攻擊者使用Drupalgeddon 2漏洞在Drupal安裝受損的服務器上挖掘加密貨幣。

2014年底，印第安納州教育部將其網站遭到攻擊歸咎于Drupal漏洞，該漏洞迫使其在問題得到解決期間暫時關閉其網站。

9、Microsoft WindowsOLE漏洞Sandworm

Trustwave公司列表中的倒數第二個漏洞是2014年檢測到的Microsoft Windows對象鏈接和嵌入(OLE)漏洞CVE-2014-4114。該公司在博客文章寫道，“該漏洞被用于針對北約、烏克蘭和西方政府組織以及能源行業公司的網絡間諜活動。”由于發起該活動的攻擊者團體名稱“沙蟲團隊”，該漏洞獲得了“沙蟲”這個綽號。Trustwave 公司認為該漏洞目前處于非活動狀態。

10、Ripple20漏洞和物聯網設備不斷增長

Trustwave公司的列表中的最后一個是Ripple20漏洞，這些漏洞突出了圍繞不斷擴大的物聯網領域的風險。2020年6月，以色列物聯網安全服務商JSOF公司發布了19個漏洞，統稱為Ripple20，以說明它們將在未來幾年對聯網設備產生的“漣漪效應”。

Trustwave在博客文章中指出，“這些漏洞存在于Treck網絡堆棧中，侵入到50多家供應商和數百萬臺設備中，其中包括醫療保健、數據中心、電網和關鍵基礎設施中的關鍵任務設備。”

正如行業媒體在2020年所概述的那樣，一些漏洞可能允許通過網絡遠程執行代碼，并導致受影響設備的全面入侵。Trustwave公司表示，Ripple20漏洞如今仍然很活躍。

如果漏洞未能修復將會在檢測之后很長時間內構成風險。

Trustwave公司引用了這樣一個事實，即其列表中存在的幾個漏洞是在近十年前檢測到的，但即使在補丁和修復程序可用之后，隨著時間的推移，其中許多漏洞仍會繼續構成風險。這表明企業：

1. 缺乏跟蹤和記錄網絡上運行的各種服務的能力。
2. 在不中斷工作流程的情況下，努力為資產擔保并應用補丁。
3. 對發現的零日反應遲緩。

Trustwave公司補充說，鑒于2021年檢測到的零日攻擊急劇增加，這可能具有更大的意義。

Trustwave公司安全研究總監Alex Rothacker表示，很多企業正在不斷地打補丁以應對最新的漏洞。他說，“這是極具挑戰性的，尤其是對于員工有限或沒有專職安全員工的小型企業而言。即使對于較大的企業，也不總是有現成的補丁可用。以Log4j漏洞為例。大多數易受攻擊的Log4j版本是較大的第三方軟件包的一部分，許多第三方供應商仍在努力全面更新其復雜的應用程序。”

更重要的是，隨著時間的推移，焦點轉移到下一個漏洞上，導致原有的補丁有時丟失，Rothacker補充說，“漏洞越老，關于如何利用它的信息就越多。這使該漏洞更容易利用，網絡攻擊者利用已知漏洞所需的技能更少。對于老練的網絡攻擊者來說，這是一個容易攻擊的目標。”