从Heartbleed到Apache Struts再到SolarWinds,这些是过去10年来发生的分水岭式的网络安全事件。
在过去十年,网络安全行业经历了相当多的分水岭时刻,这些时刻对网络安全格局产生了重大影响。严重的漏洞、广泛的网络攻击已经改变了网络安全的许多方面。为了回顾过去10年发生的安全事件,网络安全供应商Trustwave公司日前发表了一篇名为《十年回顾:漏洞状态》的博客文章,其中列出了过去10年中最突出和最值得注意的10个网络安全问题和违规行为。
该文章写道:“很难完整讲述过去10年网络安全行业发生的各个故事,因为安全工具和事件记录器最近发展如此之快,以至于我们现在认为理所当然的许多指标在10年前根本不存在。然而,可用的数据提供了足够的信息来发现一些重要的发展趋势。根据美国国家漏洞数据库(NVD)、Exploit-DB漏洞数据库、VulnIQ和Trustwave公司的安全数据等来源,最明显的趋势是安全事件和漏洞的数量不断增加,并且变得更加复杂。”
以下是Trustwave公司定义的在过去十年发生的10起分水岭式安全事件,排名不分先后。
1、SolarWinds黑客攻击和FireEye漏洞
2020年12月,对网络监控工具SolarWinds Orion供应链的网络攻击事件被Trustwave公司称之为“十年来最严重和最具破坏性的网络安全事件,该事件在全球范围内引起了轩然大波。多家公司和美国政府机构成为该活动的受害者,网络犯罪分子利用FireEye红队工具和内部威胁情报数据植入恶意后门更新(称为SUNBURST),影响了大约18000名客户,并使网络攻击者能够修改、窃取和破坏网络上的数据。Trustwave公司表示,尽管SolarWinds在2020年12月13日发布了补丁,但受感染的服务器如今仍然使用,网络攻击仍在发生,这是因为很多企业不知道在补丁之前设置休眠向量。
去年12月,前美国国家安全局黑客、安全咨询机构TrustedSec公司的创始人David Kennedy在接受行业媒体采访时说:“当你看到SolarWinds攻击发生的事情时,这是一个典型的例子,说明网络攻击者可以选择部署其产品的任何目标,很多受害者是分布在世界各地的大量公司,而大多数企业都没有能力将其纳入从检测和预防角度作出的反应。”
2021年6月,里士满大学管理学教授兼风险管理和工业与运营工程专家Shital Thekdi表示,SolarWinds遭遇的网络攻击是史无前例的,因为它能够造成重大的物理后果,可能会影响关键基础设施提供商的能源和制造能力,并造成持续的入侵,应被视为具有潜在巨大危害的严重事件。
2、EternalBlue漏洞利用和WannaCry/NotPetya勒索软件攻击
Trustwave公司名单的下一个是2017年的EternalBlue漏洞利用和随后发生的WannaCry/NotPetya勒索软件事件。黑客组织ShadowBrokers泄露了从美国国家安全局(NSA)窃取的重大漏洞利用,这些漏洞被用于执行极具破坏性的WannaCry和NotPetya勒索软件攻击,影响了全球数千个系统,对英国和乌克兰的卫生服务造成了特别的损害。最重要的漏洞利用被称为EternalBlue,针对的是CVE-2017-0144漏洞,微软公司在ShadowBrokers泄漏前一个月修补了该漏洞。Trustwave公司称,EternalBlue漏洞利用至今仍活跃在流行的联网设备搜索引擎Shodan中,目前列出了7500多个易受攻击的系统。
2017年,RiskSense公司研究人员表示,“EternalBlue漏洞利用非常危险,因为它可以提供对几乎所有未打补丁的Microsoft Windows系统的即时、远程和未经身份验证的访问,这是家庭用户和商业世界中使用最广泛的操作系统之一。”
3、OpenSSL中的Heartbleed漏洞
Trustwave公司在文章中声称,在2014年出现的Heartbleed漏洞如今继续肆虐,估计迄今为止威胁到20多万个易受攻击的系统。安全研究人员在OpenSSL(一种保护Web的加密技术)中发现了严重缺陷(CVE-2014-0160)。它之所以被称为Heartbleed,是因为OpenSSL的TLS/DTLS(传输层安全协议)扩展组件(RFC6520)的实现中存在该漏洞,并允许互联网上的任何人读取系统的内存。
Heartbleed漏洞引起了大规模的恐慌,并很快被标记为互联网历史上最严重的安全漏洞之一。信息安全先驱Bruce Schneier在他的博客文章中说:“如果将灾难性在1到10的范围内分类的话,那么Heartbleed带来的灾难是11。”
在2014年撰写的一篇文章中,安全顾问Roger Grimes制定了一个三步计划,以帮助企业控制其OpenSSL环境并缓解Heartbleed漏洞。OpenSSL可能在60%或更多的网站上运行HTTPS连接,并用于许多其他使用基于SSL/TLS的协议的流行服务,如POP/S、IMAP/S和VPN。如果可以连接到基于SSL/TLS的服务,并且它没有运行Microsoft Windows或Apple OSX,那么很有可能它很容易受到攻击。
4、在Bash中执行Shellshock远程代码
Trustwave公司在文章中指出,Shellshock(CVE-2014-7169)是“Bourne Again Shell”(Bash)命令行界面中的一个错误,在2014年被发现之前已经存在了30年。该公司补充说:“该漏洞被认为比Heartbleed更严重,因为它允许网络攻击者在没有用户名和密码的情况下完全控制系统。”虽然在2014年9月发布了一个补丁,Shellshock漏洞当前处于非活动状态,而黑客利用DNS劫持来访问敏感系统。
Easy Solutions公司首席技术官Daniel Ingevaldson在2014年发表评论说:“利用这一漏洞依赖于可以从互联网以某种方式访问bash功能。bash的问题在于它被用于任何事情。在基于Linux的系统上,bash是默认的shell,任何启用web的进程需要调用shell来处理输入、运行命令(例如ping、sed或grep等)时,它都会调用Bash。”
5、ApacheStruts远程命令注入和Equifax漏洞
这个严重的零日漏洞影响了2017年发现的Web应用程序开发框架Apache Struts 2中的Jakarta Multipart解析器。这个漏洞允许通过错误地解析攻击者的无效Content-Type HTTP标头来进行远程命令注入攻击。在几个月之后,信用报告巨头Equifax公司宣布,黑客已经获得了企业数据的访问权限,这些数据可能会泄露美国、英国和加拿大等国家的1.43亿人的敏感信息。进一步分析发现,网络攻击者使用该漏洞(CVE-2017-5638)作为初始攻击向量。
2017年9月,威胁情报机构SurfWatch Labs的首席安全策略师Adam Meyer表示:“这种特殊的数据泄露将影响许多企业和联邦机构用来打击其自身形式的欺诈行为的利用身份验证堆栈。”Trustwave公司认为此漏洞当前处于非活动状态。
6、推测执行漏洞Meltdown和Spectre
Trustwave公司在其下一个列表中引用了2018年被称为Meltdown和Spectre的重大CPU漏洞。这些属于一类称为推测执行漏洞,网络攻击者可以将其作为攻击目标,利用运行计算机的CPU来访问存储在其他运行程序内存中的数据。博客文章写道,“Meltdown(CVE-2017-5754)破坏了阻止应用程序访问任意系统内存的机制。Spectre(CVE-2017-5753和CVE-2017-5715)欺骗其他应用程序访问其内存中的任意位置。两种攻击都使用侧通道从目标内存位置获取信息。”
这两个漏洞都很重要,因为它们开启了危险攻击的可能性。正如2018年安全行业媒体在一篇文章中所述,“例如,网站上的JavaScript代码可以使用Spectre来欺骗网络浏览器以泄露用户和密码信息。网络攻击者可以利用Meltdown查看其他用户拥有的数据,甚至是同一硬件上托管的其他虚拟服务器,这对云计算主机来说可能是灾难性的。”值得庆幸的是,Trustwave公司表示,Meltdown和Spectre似乎处于非活动状态,目前没有发现任何漏洞。
7、BlueKeep和远程桌面作为访问媒介
在大规模远程工作以及2020年3月发生的新冠疫情引发的安全风险之前的几年,网络犯罪分子以远程桌面为攻击目标,利用RDP漏洞窃取个人数据、登录凭据和安装勒索软件。然而,2019年,随着BlueKeep的发现,远程桌面作为攻击向量的威胁真正凸显出来,BlueKeep是Microsoft远程桌面服务中的一个远程代码执行漏洞。Trustwave公司在文章中写道:“安全研究人员认为BlueKeep特别严重,因为它是可攻击的,这意味着网络攻击者可以利用它在计算机之间传播恶意软件,而无需人工干预。”
事实上,这就是问题的严重性,美国国家安全局(NSA)就该问题发布了提出自己的建议,“这是恶意网络行为者经常通过使用专门针对该漏洞的软件代码来利用的漏洞类型。例如,可以利用该漏洞进行拒绝服务攻击。远程利用工具广泛用于这一漏洞可能只是时间问题。美国国家安全局(NSA)担心恶意网络攻击者会利用勒索软件中的漏洞和包含其他已知漏洞的漏洞利用工具包,从而增强针对其他未修补系统的能力。”
Trustwave公司表示,BlueKeep仍然处于活动状态,并在Shodan上发现了3万多个易受攻击的实例。
8、Drupalgeddon系列和CMS漏洞
Trustwave公司表示,Drupalgeddon系列包括两个关键漏洞,如今美国联邦调查局(FBI)认为这些漏洞仍然活跃。第一个漏洞是CVE-2014-3704,于2014年被发现,以开源内容管理系统DrupalCore中的SQL注入漏洞的形式出现,威胁参与者利用该漏洞入侵大量网站。在四年之后,Drupal安全团队披露了另一个名为Drupalgeddon 2(CVE-2018-7600)的极其严重的漏洞,该漏洞是由于Drupal7Form API上的输入验证不足而导致未经身份验证的攻击者可以在默认或常见Drupal安装和执行远程代码。网络攻击者使用Drupalgeddon 2漏洞在Drupal安装受损的服务器上挖掘加密货币。
2014年底,印第安纳州教育部将其网站遭到攻击归咎于Drupal漏洞,该漏洞迫使其在问题得到解决期间暂时关闭其网站。
9、Microsoft WindowsOLE漏洞Sandworm
Trustwave公司列表中的倒数第二个漏洞是2014年检测到的Microsoft Windows对象链接和嵌入(OLE)漏洞CVE-2014-4114。该公司在博客文章写道,“该漏洞被用于针对北约、乌克兰和西方政府组织以及能源行业公司的网络间谍活动。”由于发起该活动的攻击者团体名称“沙虫团队”,该漏洞获得了“沙虫”这个绰号。Trustwave 公司认为该漏洞目前处于非活动状态。
10、Ripple20漏洞和物联网设备不断增长
Trustwave公司的列表中的最后一个是Ripple20漏洞,这些漏洞突出了围绕不断扩大的物联网领域的风险。2020年6月,以色列物联网安全服务商JSOF公司发布了19个漏洞,统称为Ripple20,以说明它们将在未来几年对联网设备产生的“涟漪效应”。
Trustwave在博客文章中指出,“这些漏洞存在于Treck网络堆栈中,侵入到50多家供应商和数百万台设备中,其中包括医疗保健、数据中心、电网和关键基础设施中的关键任务设备。”
正如行业媒体在2020年所概述的那样,一些漏洞可能允许通过网络远程执行代码,并导致受影响设备的全面入侵。Trustwave公司表示,Ripple20漏洞如今仍然很活跃。
如果漏洞未能修复将会在检测之后很长时间内构成风险。
Trustwave公司引用了这样一个事实,即其列表中存在的几个漏洞是在近十年前检测到的,但即使在补丁和修复程序可用之后,随着时间的推移,其中许多漏洞仍会继续构成风险。这表明企业:
- 缺乏跟踪和记录网络上运行的各种服务的能力。
- 在不中断工作流程的情况下,努力为资产担保并应用补丁。
- 对发现的零日反应迟缓。
Trustwave公司补充说,鉴于2021年检测到的零日攻击急剧增加,这可能具有更大的意义。
Trustwave公司安全研究总监Alex Rothacker表示,很多企业正在不断地打补丁以应对最新的漏洞。他说,“这是极具挑战性的,尤其是对于员工有限或没有专职安全员工的小型企业而言。即使对于较大的企业,也不总是有现成的补丁可用。以Log4j漏洞为例。大多数易受攻击的Log4j版本是较大的第三方软件包的一部分,许多第三方供应商仍在努力全面更新其复杂的应用程序。”
更重要的是,随着时间的推移,焦点转移到下一个漏洞上,导致原有的补丁有时丢失,Rothacker补充说,“漏洞越老,关于如何利用它的信息就越多。这使该漏洞更容易利用,网络攻击者利用已知漏洞所需的技能更少。对于老练的网络攻击者来说,这是一个容易攻击的目标。”