截至2021年7月七大嚴重的安全漏洞總結

2020年，有超過 370 億條資料記錄被暴露。這不僅是大量記錄遭到破壞，而且這些數字反映了對我們的安全措施失去信任。

勒索軟體是 2021年非常猖狂。網路攻擊利用內部人員、錯誤配置和人為錯誤。最新的 Verizon 資料洩露調查報告 2021 (DBIR) 發現，85%的洩露涉及“人為因素”，其中36%涉及網路釣魚。

以下是今年截至7月最具影響力的七起安全漏洞事件，有望為未來幾年解決網路安全問題提供經驗教訓。

1. Mimecast

2021年1月，受損的Mimecast數字證書成為資料洩露風暴的中心。該數字證書用於認證Mimecast同步和恢復連續性監控，以及微軟365 Exchange Web服務的IEP，被2020年底SolarWinds攻擊背後的駭客組織利用，即諾貝爾(Nobelium)攻擊。Mimecast 研究人員認為，這次攻擊是針對某些型別組織的大規模攻擊的一部分。據訊息，這次攻擊還涉及竊取的特權憑證：

Mimecast在一份宣告中表示:“我們的調查還顯示，威脅行為者訪問了美國和英國客戶建立的某些加密服務賬戶憑證，並可能被竊取。”

洩露事件發生後，Mimecast的股價下跌了5%，影響了其約10%的客戶群。Mimecast有超過60,000家公司使用他們的服務;可能被破壞的資料記錄的確切數字尚不清楚。

2. 宏碁

2021年3月，電子製造商宏碁成為勒索軟體的受害者，引發歷史上最大的贖金：5000 萬美元。駭客組織 ReEvil也稱為Sodinokibi，被認為是對宏碁進行勒索軟體攻擊的肇事者。感染加密資料，無法操作，大量敏感資料(包括銀行賬戶資訊)被盜。後一種策略在勒索軟體攻擊期間越來越普遍，用作確保支付贖金的槓桿。ReEvil通常使用網路釣魚和嘗試使用在早期資料洩露中竊取的憑據進行遠端桌面登入來開始感染過程。持續的感染事件鏈包括建立新的域使用者帳戶，安裝Cobalt Strike的Beacon(一種用於模擬威脅行為者的合法工具;該工具執行PowerShell指令碼等)，並禁用防毒軟體。

3. Microsoft Exchange

2021年3月，駭客組織Hafnium利用Microsoft Exchange 伺服器中的四個零日漏洞。網路攻擊的三個步驟最初是使用竊取的證書或利用Exchange Server漏洞進行的。一旦建立了訪問許可權，Hafnium就使用web shell建立對伺服器的遠端控制。這個遠端連線用於轉移資料。值得注意的是，網路shell攻擊在2021年翻了一番。

此次網路攻擊被認為影響了大約30,000個美國組織。Microsoft迅速釋出了Exchange Server漏洞補丁，但Hafnium繼續透過執行Internet掃描來尋找未打補丁的Microsoft Exchange 伺服器。

4. FacebookFacebook

臉書在2021年4月再次成為資料洩露的受害者。這次入侵與其說是技術駭客，不如說是螢幕刮傷。此次入侵影響了來自106個國家的5.3億Facebook使用者。被洩露的個人資料包括Facebook的ID號、姓名、電話號碼、出生日期和地點。螢幕抓取攻擊之所以發生，是因為Facebook允許一個名為“聯絡人匯入”的功能存在漏洞;任何設定為公開或與朋友共享的配置檔案，或啟用使用電話號碼查詢的配置檔案都允許這種利用發生。

2021年4月和7月，92%的領英使用者使用螢幕抓取個人資訊的方法竊取了個人和專業資料。

5. Colonial Pipeline

Colonial管道公司是美國一家主要的公司，負責美國東海岸45%的燃料消耗。2021年5月，Colonial Pipeline因一場影響約5000萬客戶的勒索軟體攻擊而被迫關閉。駭客組織DarkSide實施了這次攻擊。同樣，攻擊者使用了雙重攻擊的方法，加密資料並竊取了大約100GB的資料。這些被盜資料被用來向該公司施壓，要求其支付440萬美元的贖金。Darkside以提供勒索軟體即服務包(RaaS)而聞名，它使攻擊更容易被訪問和發起。

6. Electronic Arts

敏感資料有多種形式，其中一種是智慧財產權 (IP)。在 2021 年6月針對電子藝界的網路攻擊事件中，780 GB的原始碼被盜。攻擊者可以不受限制地訪問用於消費者遊戲的原始碼，找到可能被利用的漏洞，從而使客戶的個人資料面臨風險。攻擊伴隨著贖金要求，駭客將原始碼片段放在網上，試圖向電子藝界施加壓力，要求他們支付贖金。據訊息，這些網路犯罪分子利用偷來的cookies(在暗網上售價10美元)，獲得了Slack公司賬戶的初始使用權。然後，使用社會工程來欺騙IT支援人員發出一個臨時的多因素身份驗證令牌，以允許對資料的特權訪問。

7. Kaseya

7月又一次重大勒索軟體攻擊，這次是針對Kaseya，這是一家透過託管服務提供商 (MSP) 提供的IT網路管理軟體提供商。攻擊者再次是駭客組織ReEvil。該組織利用Kaseya虛擬系統管理員元件中的零日漏洞向大約1,500 家中小企業的端點提供勒索軟體。現在對於0day在野外出現的時間長度存在爭議，Brian Krebs報告說它可能自2015年以來就已經存在。

Kaseya漏洞利用讓人想起2020 年的SolarWinds大型駭客攻擊，駭客利用漏洞將受感染的更新推送給SolarWinds軟體的客戶。在Kaseya攻擊中，“身份驗證繞過漏洞”是開啟了允許遠端程式碼執行的大門，該漏洞允許繞過身份驗證保護層。

2021年網路攻擊總結

網路罪犯的工作就是尋找繞過保護的方法。這可能以軟體漏洞的形式出現，也可能是由於人為錯誤導致的憑證盜竊，並且通常會使用多種技術。以上描述的大多數攻擊都使用了一系列的漏洞，通常包括員工的社會工程來實施網路攻擊。賭注已經提高，網路戰繼續有增無減。但是，沒有哪個組織可以任由網路攻擊發生並遭受打擊。

多數網路攻擊都是由軟體安全漏洞引起的，因此減少軟體安全漏洞可以直接降低網路遭到攻擊的機率。資料顯示，超6成的安全漏洞都與程式碼有關，而靜態分析技術可以幫助使用者減少30-70%的安全漏洞。在網路攻擊漩渦逐漸增大的今天，建議企業在軟體開發過程中，不斷加強 原始碼安全檢測及SCA等檢測，第一時間發現並修改軟體系統中的程式碼缺陷及安全漏洞。

參讀連結：

https://resources.infosecinstitute.com/topic/7-worst-security-breaches-of-2021-so-far/