截至2021年7月七大严重的安全漏洞总结
共 2870字,需浏览 6分钟
·
2021-08-17 10:45
2020年,有超过 370 亿条数据记录被暴露。这不仅是大量记录遭到破坏,而且这些数字反映了对我们的安全措施失去信任。
勒索软件是 2021年非常猖狂。网络攻击利用内部人员、错误配置和人为错误。最新的 Verizon 数据泄露调查报告 2021 (DBIR) 发现,85%的泄露涉及“人为因素”,其中36%涉及网络钓鱼。
以下是今年截至7月最具影响力的七起安全漏洞事件,有望为未来几年解决网络安全问题提供经验教训。
1. Mimecast
2021年1月,受损的Mimecast数字证书成为数据泄露风暴的中心。该数字证书用于认证Mimecast同步和恢复连续性监控,以及微软365 Exchange Web服务的IEP,被2020年底SolarWinds攻击背后的黑客组织利用,即诺贝尔(Nobelium)攻击。Mimecast 研究人员认为,这次攻击是针对某些类型组织的大规模攻击的一部分。据消息,这次攻击还涉及窃取的特权凭证:
Mimecast在一份声明中表示:“我们的调查还显示,威胁行为者访问了美国和英国客户创建的某些加密服务账户凭证,并可能被窃取。”
泄露事件发生后,Mimecast的股价下跌了5%,影响了其约10%的客户群。Mimecast有超过60,000家公司使用他们的服务;可能被破坏的数据记录的确切数字尚不清楚。
2. 宏碁
2021年3月,电子制造商宏碁成为勒索软件的受害者,引发历史上最大的赎金:5000 万美元。黑客组织 ReEvil也称为Sodinokibi,被认为是对宏碁进行勒索软件攻击的肇事者。感染加密数据,无法操作,大量敏感数据(包括银行账户信息)被盗。后一种策略在勒索软件攻击期间越来越普遍,用作确保支付赎金的杠杆。ReEvil通常使用网络钓鱼和尝试使用在早期数据泄露中窃取的凭据进行远程桌面登录来开始感染过程。持续的感染事件链包括创建新的域用户帐户,安装Cobalt Strike的Beacon(一种用于模拟威胁行为者的合法工具;该工具执行PowerShell脚本等),并禁用杀毒软件。
3. Microsoft Exchange
2021年3月,黑客组织Hafnium利用Microsoft Exchange 服务器中的四个零日漏洞。网络攻击的三个步骤最初是使用窃取的证书或利用Exchange Server漏洞进行的。一旦建立了访问权限,Hafnium就使用web shell建立对服务器的远程控制。这个远程连接用于转移数据。值得注意的是,网络shell攻击在2021年翻了一番。
此次网络攻击被认为影响了大约30,000个美国组织。Microsoft迅速发布了Exchange Server漏洞补丁,但Hafnium继续通过执行Internet扫描来寻找未打补丁的Microsoft Exchange 服务器。
4. FacebookFacebook
脸书在2021年4月再次成为数据泄露的受害者。这次入侵与其说是技术黑客,不如说是屏幕刮伤。此次入侵影响了来自106个国家的5.3亿Facebook用户。被泄露的个人数据包括Facebook的ID号、姓名、电话号码、出生日期和地点。屏幕抓取攻击之所以发生,是因为Facebook允许一个名为“联系人导入”的功能存在漏洞;任何设置为公开或与朋友共享的配置文件,或启用使用电话号码查找的配置文件都允许这种利用发生。
2021年4月和7月,92%的领英用户使用屏幕抓取个人信息的方法窃取了个人和专业数据。
5. Colonial Pipeline
Colonial管道公司是美国一家主要的公司,负责美国东海岸45%的燃料消耗。2021年5月,Colonial Pipeline因一场影响约5000万客户的勒索软件攻击而被迫关闭。黑客组织DarkSide实施了这次攻击。同样,攻击者使用了双重攻击的方法,加密数据并窃取了大约100GB的数据。这些被盗数据被用来向该公司施压,要求其支付440万美元的赎金。Darkside以提供勒索软件即服务包(RaaS)而闻名,它使攻击更容易被访问和发起。
6. Electronic Arts
敏感数据有多种形式,其中一种是知识产权 (IP)。在 2021 年6月针对电子艺界的网络攻击事件中,780 GB的源代码被盗。攻击者可以不受限制地访问用于消费者游戏的源代码,找到可能被利用的漏洞,从而使客户的个人数据面临风险。攻击伴随着赎金要求,黑客将源代码片段放在网上,试图向电子艺界施加压力,要求他们支付赎金。据消息,这些网络犯罪分子利用偷来的cookies(在暗网上售价10美元),获得了Slack公司账户的初始使用权。然后,使用社会工程来欺骗IT支持人员发出一个临时的多因素身份验证令牌,以允许对数据的特权访问。
7. Kaseya
7月又一次重大勒索软件攻击,这次是针对Kaseya,这是一家通过托管服务提供商 (MSP) 提供的IT网络管理软件提供商。攻击者再次是黑客组织ReEvil。该组织利用Kaseya虚拟系统管理员组件中的零日漏洞向大约1,500 家中小企业的端点提供勒索软件。现在对于0day在野外出现的时间长度存在争议,Brian Krebs报告说它可能自2015年以来就已经存在。
Kaseya漏洞利用让人想起2020 年的SolarWinds大型黑客攻击,黑客利用漏洞将受感染的更新推送给SolarWinds软件的客户。在Kaseya攻击中,“身份验证绕过漏洞”是打开了允许远程代码执行的大门,该漏洞允许绕过身份验证保护层。
2021年网络攻击总结
网络罪犯的工作就是寻找绕过保护的方法。这可能以软件漏洞的形式出现,也可能是由于人为错误导致的凭证盗窃,并且通常会使用多种技术。以上描述的大多数攻击都使用了一系列的漏洞,通常包括员工的社会工程来实施网络攻击。赌注已经提高,网络战继续有增无减。但是,没有哪个组织可以任由网络攻击发生并遭受打击。
多数网络攻击都是由软件安全漏洞引起的,因此减少软件安全漏洞可以直接降低网络遭到攻击的几率。数据显示,超6成的安全漏洞都与代码有关,而静态分析技术可以帮助用户减少30-70%的安全漏洞。在网络攻击漩涡逐渐增大的今天,建议企业在软件开发过程中,不断加强源代码安全检测及SCA等检测,第一时间发现并修改软件系统中的代码缺陷及安全漏洞。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?id=0e238742996b41c3869b1e5342909463
https://resources.infosecinstitute.com/topic/7-worst-security-breaches-of-2021-so-far/