回顧：2021年度七大代表性網絡安全事件

2021年底公開暴露的 Log4j 漏洞迅速成為該年影響力最大的安全威脅。然而，這并不是企業安全團隊面臨的唯一難題，據身份盜竊資源中心（ ITRC ）的數據顯示，僅 2021 年前三季度公開報告的數據泄露事件就多達 1,291 起；Redscan 對美國國家通用漏洞數據庫（ NVD ）的一項新調研顯示， 2021 年披露的漏洞數量（ 18,439 個）比以往任何一年都多。更糟糕的是，其中絕大部分都可以被黑客甚至技術能力有限的攻擊者利用。

以下列出了 2021 年最具代表性的 7 起網絡安全事件，其中包含數據泄露、攻擊和漏洞等。

1. 震驚業界的 Log4j 漏洞

2021年12月初， Log4j 日志框架中一個嚴重的遠程代碼執行漏洞震驚了整個行業，可以說，近年來很少有其他漏洞具備如此震懾力。這種擔憂源于這樣一個事實，即該工具在企業運營（ OT ）、軟件即服務（ SaaS ）和云服務提供商（ CSP ）環境中普遍存在，且相對容易利用。該漏洞為攻擊者提供了一種遠程控制服務器、 PC 和任何其他設備的方法，包括存在日志工具的關鍵運營（ OT）和工業控制系統（ ICS ）環境中的設備。

該漏洞（ CVE-2021-44228 ）存在于從 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中，可以通過多種方式利用。Apache 基金會最初發布了該工具的新版本（ Apache Log4j 2.15.0 ）試圖解決問題，但此后不久又不得不發布另一個更新，因為第一個更新沒能完全防止拒絕服務（ DoS ）攻擊和數據盜竊。

截至 2021 年 12 月 17 日，暫未出現與此漏洞相關的重大數據泄露事件。然而，安全專家堅信攻擊者一定會利用該漏洞，并在可預見的未來繼續這樣做，因為企業很難找到易受攻擊系統的每一個實例并有效防范該漏洞。許多安全廠商報告了針對各種 IT 和 OT 系統（包括服務器、虛擬機、移動設備、人機界面系統和 SCADA 設備等）的廣泛掃描活動，其中許多都涉及嘗試投幣挖掘工具、遠程訪問木馬、勒索軟件和 Web shell ；涉及的惡意行為者則包括已知的出于經濟動機的威脅組織，以及來自伊朗和土耳其等國家支持的 APT 組織。

2. Colonial Pipeline 攻擊將勒索軟件提升至國家安全

2021 年 5 月，針對美國管道運營商 Colonial Pipeline 的勒索軟件攻擊占據了新聞頭條，此舉對美國廣大民眾造成了廣泛影響：中斷了數百萬加侖燃料的運輸，并引發了美國東海岸大部分地區的短暫性天然氣短缺。這起事件也成功將勒索軟件提升為國家安全級別的問題，并引起了白宮的關注。事件發生幾天后，拜登總統發布了一項行政命令，要求聯邦機構實施新的控制措施以加強網絡安全。

據悉，此次事件的原因是黑客組織使用了被盜的舊 VPN 憑據獲得了對 Colonial Pipeline 網絡的訪問權限。這種攻擊方法本身并非特別值得注意，但破壞本身卻是可見的、有意義的，而且許多政府官員都能親身感受到。這也促使美國兩黨和政府提高了使用可重用密碼等問題的門檻。雖說高度關注可能不會產生立竿見影的進展，但它已經推動了國家層面對網絡安全的關注。

3. Kaseya 事件將人們的注意力集中在供應鏈風險上

2021 年 7 月初， IT 管理軟件供應商 Kaseya 發生的安全事件，再次凸顯了企業面臨來自 IT 供應鏈中供應商的威脅正日益加劇。

該事件后來歸因于 REvil/Sodinokibi 勒索軟件組織的一個附屬機構，其中涉及威脅行為者利用 Kaseya 虛擬系統管理員（ VSA ）技術中的三個漏洞，而許多托管服務提供商（ MSP ）使用該技術來管理其客戶的網絡。攻擊者利用這些漏洞，使用 Kaseya VSA 在屬于 MSP 下游客戶的數千個系統上分發勒索軟件。

Kaseya 攻擊凸顯了威脅行為者對一次性破壞多個目標（如軟件供應商和服務提供商）的興趣日益濃厚。雖然這不是典型的供應鏈攻擊——因為它利用了已部署的 Kaseya VSA 服務器漏洞，但 MSP 向其客戶分發軟件的 Kaseya 機制是擴大攻擊范圍和速度的關鍵。該事件促使美國網絡安全和基礎設施安全局（ CISA ）發出多個威脅警報，并為 MSP 及其客戶提供指導。

4. Exchange Server 攻擊引發修補狂潮

2021年3月初，當微軟針對其 Exchange Server 技術中的四個漏洞（統稱為“ ProxyLogon ”）發布緊急修復程序時，引發了一場前所未有的修補狂潮。

ProxyLogon 漏洞為威脅行為者提供了一種未經身份驗證的遠程訪問 Exchange 服務器的方法。它本質上是一個電子版本，從企業的主要入口上移除所有訪問控制、警衛和鎖，這樣任何人都可以進入。一些安全廠商的調查表明，幾個威脅組織在補丁發布之前就已經瞄準了這些漏洞，并且在微軟披露漏洞后，許多其他組織也加入了這一行動。攻擊數量如此之多，以至于 F-Secure 稱“ Exchange Server 被黑客入侵的速度比我們想象的要快”。

與許多其他供應商一樣，微軟當時也建議企業假設自己已被破壞并做出響應。在漏洞披露后不到三周，微軟報告稱，全球約 92% 的 Exchange 服務 IP 已被修補或緩解。但是，企業對攻擊者在修補之前安裝在 Exchange Server 上的 Web shell 的擔憂仍然揮之不去，促使美國司法部采取了前所未有的措施，命令 FBI 主動從后門 Exchange Server 中刪除 Web shell 。

5. PrintNightmare 強調 Windows Print Spooler 技術的持續風險

很少有漏洞能比 PrintNightmare （ CVE-2021-34527 ）更能反映微軟的 Windows Print Spooler 技術給企業帶來的持續風險。該漏洞于 2021 年 7 月披露，與 Spooler 服務中用于安裝打印機驅動程序系統的特定功能有關。該問題影響了所有 Windows 版本，并為經過身份驗證的攻擊者提供了一種在任何存在漏洞的系統上遠程執行惡意代碼的方法。這包括關鍵的 Active Directory 管理系統和核心域控制器。微軟警告稱，對該漏洞的利用會導致環境的機密性、完整性和可用性受損。

微軟對 PrintNightmare 的披露促使 CISA 、 CERT 協調中心（ CC ）和其他機構發布緊急建議，敦促企業迅速禁用關鍵系統上的 Print Spooler 服務。PrintNightmare 是微軟長期存在缺陷的 Print Spooler 技術中、幾個必須修補的缺陷中較嚴重的一個。PrintNightmare 之所以非常重要，是因為該漏洞存在于幾乎每個 Windows 系統上都會安裝的“ Print Spoole ”服務中。這意味著攻擊者有一個巨大的攻擊面作為目標，而且禁用這些服務并不總是可行的，因為需要它來方便打印。

6. Accellion 入侵是多次破壞攻擊趨勢的例子

美國、加拿大、新加坡、荷蘭和其他國家/地區多個組織在 2021 年 2 月遭遇了嚴重的數據泄露事件，因為他們使用的 Accellion 文件傳輸服務存在漏洞。零售企業 Kroger 是最大的受害者之一，其藥房和診所員工和數百萬客戶的數據慘遭泄露。其他著名的受害者還包括眾達律師事務所、新加坡電信、華盛頓州和新西蘭儲備銀行。

Accellion 將該問題描述為“與其近乎過時的文件傳輸設備技術中的零日漏洞有關”，當時許多組織正在使用該技術在其內部和外部傳輸大型文件。安全廠商 Mandiant 的調查顯示，攻擊者使用 Accellion 技術中 4 個零日漏洞作為攻擊鏈的一部分。Mandiant 后來將這次攻擊歸因于與 Clop 勒索軟件家族和 FIN11 （一個出于經濟動機的 APT 組織）有關聯的威脅行為者。

Digital Shadows 網絡威脅情報分析師 Ivan Righi 表示， Accellion 攻擊是 2021 年初的重大安全事件，因為它展示了勒索軟件供應鏈攻擊的危險性。Clop 勒索軟件團伙能夠利用 Accellion 文件傳輸設備（ FTP ）軟件中的零日漏洞一次鎖定眾多企業，這大大減少了攻擊者實現初始訪問所需的工作和精力。

7. 佛羅里達水務公司攻擊事件提醒人們注意關鍵基礎設施

2021 年 2 月，一名攻擊者入侵佛羅里達州奧茲馬市一家水處理廠的系統，并試圖改變一種名為堿液的化學物質濃度，該化學物質用于控制水的酸度。當入侵者試圖將堿液水平提高 111 倍時被發現，在其造成損壞之前，很快得到了恢復。隨后對該事件的分析顯示，入侵者獲得了屬于水處理設施操作員的系統訪問權限，可能使用被盜的 TeamViewer 憑據遠程登錄了該系統。

此次入侵使美國關鍵基礎設施在網絡攻擊面前的持續脆弱性暴露無遺，再次展現了入侵飲用水處理設施的監控和數據采集（ SCADA ）系統是多么簡單的事情。該事件還促使 CISA 警告關鍵基礎設施運營商，在環境中使用桌面共享軟件和過時或接近報廢軟件（如 Windows 7）的危險性。