截至2021年7月七大嚴(yán)重的安全漏洞總結(jié)

2020年，有超過 370 億條數(shù)據(jù)記錄被暴露。這不僅是大量記錄遭到破壞，而且這些數(shù)字反映了對(duì)我們的安全措施失去信任。

勒索軟件是 2021年非常猖狂。網(wǎng)絡(luò)攻擊利用內(nèi)部人員、錯(cuò)誤配置和人為錯(cuò)誤。最新的 Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告 2021 (DBIR) 發(fā)現(xiàn)，85%的泄露涉及“人為因素”，其中36%涉及網(wǎng)絡(luò)釣魚。

以下是今年截至7月最具影響力的七起安全漏洞事件，有望為未來幾年解決網(wǎng)絡(luò)安全問題提供經(jīng)驗(yàn)教訓(xùn)。

1. Mimecast

2021年1月，受損的Mimecast數(shù)字證書成為數(shù)據(jù)泄露風(fēng)暴的中心。該數(shù)字證書用于認(rèn)證Mimecast同步和恢復(fù)連續(xù)性監(jiān)控，以及微軟365 Exchange Web服務(wù)的IEP，被2020年底SolarWinds攻擊背后的黑客組織利用，即諾貝爾(Nobelium)攻擊。Mimecast 研究人員認(rèn)為，這次攻擊是針對(duì)某些類型組織的大規(guī)模攻擊的一部分。據(jù)消息，這次攻擊還涉及竊取的特權(quán)憑證：

Mimecast在一份聲明中表示:“我們的調(diào)查還顯示，威脅行為者訪問了美國和英國客戶創(chuàng)建的某些加密服務(wù)賬戶憑證，并可能被竊取?！?/p>

泄露事件發(fā)生后，Mimecast的股價(jià)下跌了5%，影響了其約10%的客戶群。Mimecast有超過60,000家公司使用他們的服務(wù);可能被破壞的數(shù)據(jù)記錄的確切數(shù)字尚不清楚。

2. 宏碁

2021年3月，電子制造商宏碁成為勒索軟件的受害者，引發(fā)歷史上最大的贖金：5000 萬美元。黑客組織 ReEvil也稱為Sodinokibi，被認(rèn)為是對(duì)宏碁進(jìn)行勒索軟件攻擊的肇事者。感染加密數(shù)據(jù)，無法操作，大量敏感數(shù)據(jù)(包括銀行賬戶信息)被盜。后一種策略在勒索軟件攻擊期間越來越普遍，用作確保支付贖金的杠桿。ReEvil通常使用網(wǎng)絡(luò)釣魚和嘗試使用在早期數(shù)據(jù)泄露中竊取的憑據(jù)進(jìn)行遠(yuǎn)程桌面登錄來開始感染過程。持續(xù)的感染事件鏈包括創(chuàng)建新的域用戶帳戶，安裝Cobalt Strike的Beacon(一種用于模擬威脅行為者的合法工具;該工具執(zhí)行PowerShell腳本等)，并禁用殺毒軟件。

3. Microsoft Exchange

2021年3月，黑客組織Hafnium利用Microsoft Exchange 服務(wù)器中的四個(gè)零日漏洞。網(wǎng)絡(luò)攻擊的三個(gè)步驟最初是使用竊取的證書或利用Exchange Server漏洞進(jìn)行的。一旦建立了訪問權(quán)限，Hafnium就使用web shell建立對(duì)服務(wù)器的遠(yuǎn)程控制。這個(gè)遠(yuǎn)程連接用于轉(zhuǎn)移數(shù)據(jù)。值得注意的是，網(wǎng)絡(luò)shell攻擊在2021年翻了一番。

此次網(wǎng)絡(luò)攻擊被認(rèn)為影響了大約30,000個(gè)美國組織。Microsoft迅速發(fā)布了Exchange Server漏洞補(bǔ)丁，但Hafnium繼續(xù)通過執(zhí)行Internet掃描來尋找未打補(bǔ)丁的Microsoft Exchange 服務(wù)器。

4. FacebookFacebook

臉書在2021年4月再次成為數(shù)據(jù)泄露的受害者。這次入侵與其說是技術(shù)黑客，不如說是屏幕刮傷。此次入侵影響了來自106個(gè)國家的5.3億Facebook用戶。被泄露的個(gè)人數(shù)據(jù)包括Facebook的ID號(hào)、姓名、電話號(hào)碼、出生日期和地點(diǎn)。屏幕抓取攻擊之所以發(fā)生，是因?yàn)镕acebook允許一個(gè)名為“聯(lián)系人導(dǎo)入”的功能存在漏洞;任何設(shè)置為公開或與朋友共享的配置文件，或啟用使用電話號(hào)碼查找的配置文件都允許這種利用發(fā)生。

2021年4月和7月，92%的領(lǐng)英用戶使用屏幕抓取個(gè)人信息的方法竊取了個(gè)人和專業(yè)數(shù)據(jù)。

5. Colonial Pipeline

Colonial管道公司是美國一家主要的公司，負(fù)責(zé)美國東海岸45%的燃料消耗。2021年5月，Colonial Pipeline因一場(chǎng)影響約5000萬客戶的勒索軟件攻擊而被迫關(guān)閉。黑客組織DarkSide實(shí)施了這次攻擊。同樣，攻擊者使用了雙重攻擊的方法，加密數(shù)據(jù)并竊取了大約100GB的數(shù)據(jù)。這些被盜數(shù)據(jù)被用來向該公司施壓，要求其支付440萬美元的贖金。Darkside以提供勒索軟件即服務(wù)包(RaaS)而聞名，它使攻擊更容易被訪問和發(fā)起。

6. Electronic Arts

敏感數(shù)據(jù)有多種形式，其中一種是知識(shí)產(chǎn)權(quán) (IP)。在 2021 年6月針對(duì)電子藝界的網(wǎng)絡(luò)攻擊事件中，780 GB的源代碼被盜。攻擊者可以不受限制地訪問用于消費(fèi)者游戲的源代碼，找到可能被利用的漏洞，從而使客戶的個(gè)人數(shù)據(jù)面臨風(fēng)險(xiǎn)。攻擊伴隨著贖金要求，黑客將源代碼片段放在網(wǎng)上，試圖向電子藝界施加壓力，要求他們支付贖金。據(jù)消息，這些網(wǎng)絡(luò)犯罪分子利用偷來的cookies(在暗網(wǎng)上售價(jià)10美元)，獲得了Slack公司賬戶的初始使用權(quán)。然后，使用社會(huì)工程來欺騙IT支持人員發(fā)出一個(gè)臨時(shí)的多因素身份驗(yàn)證令牌，以允許對(duì)數(shù)據(jù)的特權(quán)訪問。

7. Kaseya

7月又一次重大勒索軟件攻擊，這次是針對(duì)Kaseya，這是一家通過托管服務(wù)提供商 (MSP) 提供的IT網(wǎng)絡(luò)管理軟件提供商。攻擊者再次是黑客組織ReEvil。該組織利用Kaseya虛擬系統(tǒng)管理員組件中的零日漏洞向大約1,500 家中小企業(yè)的端點(diǎn)提供勒索軟件?，F(xiàn)在對(duì)于0day在野外出現(xiàn)的時(shí)間長度存在爭議，Brian Krebs報(bào)告說它可能自2015年以來就已經(jīng)存在。

Kaseya漏洞利用讓人想起2020 年的SolarWinds大型黑客攻擊，黑客利用漏洞將受感染的更新推送給SolarWinds軟件的客戶。在Kaseya攻擊中，“身份驗(yàn)證繞過漏洞”是打開了允許遠(yuǎn)程代碼執(zhí)行的大門，該漏洞允許繞過身份驗(yàn)證保護(hù)層。

2021年網(wǎng)絡(luò)攻擊總結(jié)

網(wǎng)絡(luò)罪犯的工作就是尋找繞過保護(hù)的方法。這可能以軟件漏洞的形式出現(xiàn)，也可能是由于人為錯(cuò)誤導(dǎo)致的憑證盜竊，并且通常會(huì)使用多種技術(shù)。以上描述的大多數(shù)攻擊都使用了一系列的漏洞，通常包括員工的社會(huì)工程來實(shí)施網(wǎng)絡(luò)攻擊。賭注已經(jīng)提高，網(wǎng)絡(luò)戰(zhàn)繼續(xù)有增無減。但是，沒有哪個(gè)組織可以任由網(wǎng)絡(luò)攻擊發(fā)生并遭受打擊。

多數(shù)網(wǎng)絡(luò)攻擊都是由軟件安全漏洞引起的，因此減少軟件安全漏洞可以直接降低網(wǎng)絡(luò)遭到攻擊的幾率。數(shù)據(jù)顯示，超6成的安全漏洞都與代碼有關(guān)，而靜態(tài)分析技術(shù)可以幫助用戶減少30-70%的安全漏洞。在網(wǎng)絡(luò)攻擊漩渦逐漸增大的今天，建議企業(yè)在軟件開發(fā)過程中，不斷加強(qiáng)源代碼安全檢測(cè)及SCA等檢測(cè)，第一時(shí)間發(fā)現(xiàn)并修改軟件系統(tǒng)中的代碼缺陷及安全漏洞。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=0e238742996b41c3869b1e5342909463

https://resources.infosecinstitute.com/topic/7-worst-security-breaches-of-2021-so-far/