过去十年,有若干个对网络安全格局产生重大影响的分水岭时刻。严重的漏洞、大规模漏洞利用以及广泛的网络攻击已经重塑了现代安全的许多方面。
为了评估安全状态,网络安全供应商Trustwave列出了过去10年中,最突出和最值得注意的10个网络安全问题和违规事件。
2020年12月,通过网络监控工具SolarWinds Orion实施的供应链网络攻击,引发了全球危机,堪称“十年来最严重和最具破坏性的活动”。多家公司和美国政府机构成为该活动的受害者,网络犯罪分子利用FireEye外泄的红队工具和内部威胁情报数据植入恶意后门更新(称为SUNBURST),影响了大约18,000名客户,并授予攻击者修改、窃取和破坏网络上数据的能力。
尽管2020年12月13日就发布了补丁,但受感染的服务器今天仍然存在,并且由于公司不知道在补丁之前设置了休眠向量(dormant vector),导致攻击仍在发生。
前国安局(NSA)黑客兼安全咨询公司TrustedSec的创始人David Kennedy表示,SolarWinds攻击事件属于一个典型案例,说明攻击者可以随意选择任何部署了SolarWinds产品的目标,这些目标来自世界各地的众多组织,且大多数组织都没有能力从检测和防御的角度对其纳入过程做出响应。
2021年6月,里士满大学(University of Richmond)管理学教授兼风险管理和工业与运营工程专家Shital Thekdi表示,SolarWinds攻击是前所未有的,因为它有能力造成重大的物理后果,影响关键基础设施提供商以及能源和制造能力,并造成持续的入侵,应被视为具有潜在巨大危害的严重事件。
下一个是2017年的EternalBlue漏洞利用以及随后发生的WannaCry/NotPetya勒索软件事件。黑客组织Shadow Brokers泄露了从美国国家安全局(NSA)窃取的高危漏洞,这些漏洞被用于执行极具破坏性的WannaCry和NotPetya勒索软件攻击,影响了全球数千个系统,并对英国和乌克兰的卫生服务造成了特别严重的损害。其中最重要的漏洞利用被称为“EternalBlue”,针对漏洞CVE-2017-0144。据了解,EternalBlue漏洞利用至今仍在活跃,Shodan搜索引擎中列出了7,500多个易受攻击的系统。
2017年,RiskSense研究人员表示,EternalBlue漏洞利用非常危险,因为它可以提供对几乎所有未打补丁的Microsoft Windows系统的即时、远程和未经身份验证的访问,而Microsoft Windows是目前家庭和商业世界使用最广泛的操作系统之一。
根据Shodan搜索引擎显示,2014年的Heartbleed漏洞至今持续存在,且预计威胁到超过200,000个易受攻击的系统。
2014年,安全研究人员在OpenSSL(一种保护Web的加密技术)中发现了高危漏洞 (CVE-2014-0160),它之所以被称为“心脏滴血(Heartbleed)”,是因为该漏洞存在于OpenSSL的TLS/DTLS(传输层安全协议)心跳扩展(RFC6520)实现中,并允许互联网上的任何人读取系统的内存。
Heartbleed引起了大规模恐慌,并很快被标记为“互联网历史上最严重的安全漏洞之一”。信息安全先驱Bruce Schneier甚至在其博客中称,“Heartbleed无疑是灾难性的存在。如果评分在1-10之间,它绝对能得11分。”
Shellshock(CVE-2014-7169)是“Bourne Again Shell”(Bash)命令行界面中的一个高危漏洞,在2014年被发现之前,它已经存在了30年之久。该漏洞被认为比Heartbleed更严重,因为它允许攻击者在没有用户名和密码的情况下完全控制系统。2014年9月,针对该漏洞的补丁发布,目前Shellshock已经不再活跃。它最后一次露面还是2019年Sea Turtle黑客组织利用DNS劫持来访问敏感系统。
Easy Solution公司首席技术官Daniel Ingevaldson表示,该漏洞利用依赖于bash功能,问题在于bash应用范围极广。在基于Linux的系统上,bash是默认的shell,任何时候启用web的进程需要调用shell来处理输入、运行命令(例如ping、sed或grep等),它都会调用Bash。
2017年,一个严重的零日漏洞(CVE-2017-5638)影响了Web应用程序开发框架Apache Struts 2中的Jakarta Multipart解析器。该漏洞允许通过错误地解析攻击者的无效Content-Type HTTP标头来进行远程命令注入攻击。
几个月后,信用报告巨头Equifax宣布,黑客已经获得了其公司数据的访问权限,这些数据可能会泄露属于美国、英国和加拿大1.43亿公民的敏感信息。进一步分析发现,攻击者正是使用该漏洞作为初始攻击向量。
2017年9月,威胁情报公司SurfWatch Labs的首席安全策略师Adam Meyer表示,这种特殊的数据泄露将影响许多组织和联邦机构用于打击欺诈行为的身份验证堆栈。不过好在该漏洞当前处于非活动状态。
2018年,被称为Meltdown和Spectre的重大CPU漏洞爆发。它们属于推测性执行漏洞(speculative execution vulnerabilities),攻击者可以将其作为攻击目标,利用运行计算机的CPU来访问存储在其他运行程序内存中的数据。其中,Meltdown(CVE-2017-5754)破坏了阻止应用程序访问任意系统内存的机制;Spectre(CVE-2017-5753和CVE-2017-5715)欺骗其他应用程序访问其内存中的任意位置。两种攻击都使用侧通道从目标内存位置获取信息。
这两个漏洞都很重要,因为它们开启了危险攻击的可能性。例如,网站上的JavaScript代码可以使用Spectre来诱骗网络浏览器泄露用户和密码信息。攻击者可以利用Meltdown查看其他用户拥有的数据,甚至是同一硬件上托管的其他虚拟服务器,这对云计算主机来说可能是灾难性的。值得庆幸的是,Meltdown和Spectre目前已处于非活动状态,且没有在野发现任何漏洞利用。
早在2020年3月COVID-19大流行引发大规模远程工作以及随之而来的安全风险之前,网络犯罪分子就以远程桌面为目标实施了攻击,利用远程桌面协议(RDP)漏洞窃取个人数据、登录凭据并安装勒索软件。然而,在2019年,随着微软远程桌面服务中的远程代码执行漏洞BlueKeep出现,远程桌面作为攻击媒介的威胁才真正流行开来。
安全研究人员认为BlueKeep特别严重,因为它是“可蠕虫的”(wormable),这就意味着攻击者可以使用它在计算机之间传播恶意软件,而无需人工干预。
事实上,这正是问题的严重性所在,NSA甚至就该问题发布了专门的公告称,恶意行为者可以利用该漏洞进行拒绝服务攻击。远程利用工具广泛用于此漏洞可能也只是时间问题。NSA 担心恶意攻击者会利用勒索软件中的漏洞和包含其他已知漏洞的漏洞利用工具包,从而增强针对其他未修补系统的能力。
BlueKeep目前仍处于活跃状态,并在Shodan上发现了30,000多个易受攻击的实例。
Drupalgeddon系列包含两个关键漏洞,且目前仍处于活跃状态。第一个漏洞是CVE-2014-3704,于2014年被发现,以开源内容管理系统Drupal Core中的SQL注入漏洞的形式出现,威胁参与者可以利用该漏洞入侵大量网站;四年后,Drupal安全团队披露了另一个名为 Drupalgeddon2(CVE-2018-7600)的高危漏洞,该漏洞是由于Drupal 7 Form API上的输入验证不足,而导致未经身份验证的攻击者可以在默认或常见Drupal安装上执行远程代码执行。攻击者可以使用Drupalgeddon2漏洞在Drupal安装受损的服务器上挖掘门罗币加密货币。
2014年,研究人员发现了Microsoft Windows对象链接和嵌入(OLE)漏洞CVE-2014-4114。该漏洞被俄罗斯网络间谍组织用于针对北约、乌克兰和西方政府组织及能源部门。由于发起该活动的攻击者团体名为“沙虫团队(Sandworm Team)”,该漏洞也就获得了“沙虫”(Sandworm)的绰号。好消息是,该漏洞目前处于非活跃状态。
最后一个是Ripple20漏洞,这些漏洞突出了围绕不断扩大的物联网领域的风险。2020年6月,以色列物联网安全公司JSOF曝出的一“波”19个物联网软件漏洞,统称为“Ripple20”。之所以将这19个漏洞命名为“Ripple20”,并不是说发现20个漏洞,而是因为这些漏洞将在2020年及以后的IoT市场中引发连锁安全风暴。
研究人员发现,这些漏洞存在于Treck网络堆栈中,被50多家供应商和数百万台设备使用,其中包括医疗保健、数据中心、电网和关键基础设施中的关键任务型设备。更糟糕的是,一些漏洞可能允许通过网络远程执行代码,并导致受影响设备的全面入侵。据悉,Ripple20漏洞至今仍然活跃。
事实证明,虽然这些漏洞都是近十年前检测到的,且已经发布了安全补丁,但其中许多仍处于活跃状态。这说明组织:
鉴于零日攻击和其他威胁日趋严峻,组织必须慎重思考上述问题。
Trustwave Spiderlabs公司安全研究总监Alex Rothacker称,目前许多组织正在加快脚步以修补最新的漏洞。但这本身就是一项极具挑战性的任务,尤其是对于员工有限或缺乏专业人士的小型组织而言。即使对于较大的组织,也不总是有现成的补丁可用。以Log4j漏洞为例, 大多数易受攻击的Log4j版本是较大的第三方软件包的一部分,许多第三方供应商仍在努力全面更新其复杂的应用程序。
更重要的是,随着时间的推移,焦点会转移到下一个漏洞上,这也会模糊大众对旧补丁的关注。漏洞越老,关于如何利用它的信息就越多,这基本上也使该漏洞成为一个唾手可得的果实。
原文链接:https://www.csoonline.com/article/3667432/10-industry-defining-security-incidents-from-the-last-decade.html