從Heartbleed到Apache Struts再到SolarWinds，這些是過去10年來發(fā)生的分水嶺式的網(wǎng)絡(luò)安全事件。

在過去十年，網(wǎng)絡(luò)安全行業(yè)經(jīng)歷了相當(dāng)多的分水嶺時(shí)刻，這些時(shí)刻對網(wǎng)絡(luò)安全格局產(chǎn)生了重大影響。嚴(yán)重的漏洞、廣泛的網(wǎng)絡(luò)攻擊已經(jīng)改變了網(wǎng)絡(luò)安全的許多方面。為了回顧過去10年發(fā)生的安全事件，網(wǎng)絡(luò)安全供應(yīng)商Trustwave公司日前發(fā)表了一篇名為《十年回顧：漏洞狀態(tài)》的博客文章，其中列出了過去10年中最突出和最值得注意的10個(gè)網(wǎng)絡(luò)安全問題和違規(guī)行為。

該文章寫道：“很難完整講述過去10年網(wǎng)絡(luò)安全行業(yè)發(fā)生的各個(gè)故事，因?yàn)榘踩ぞ吆褪录涗浧髯罱l(fā)展如此之快，以至于我們現(xiàn)在認(rèn)為理所當(dāng)然的許多指標(biāo)在10年前根本不存在。然而，可用的數(shù)據(jù)提供了足夠的信息來發(fā)現(xiàn)一些重要的發(fā)展趨勢。根據(jù)美國國家漏洞數(shù)據(jù)庫(NVD)、Exploit-DB漏洞數(shù)據(jù)庫、VulnIQ和Trustwave公司的安全數(shù)據(jù)等來源，最明顯的趨勢是安全事件和漏洞的數(shù)量不斷增加，并且變得更加復(fù)雜?！?

以下是Trustwave公司定義的在過去十年發(fā)生的10起分水嶺式安全事件，排名不分先后。

1、SolarWinds黑客攻擊和FireEye漏洞

2020年12月，對網(wǎng)絡(luò)監(jiān)控工具SolarWinds Orion供應(yīng)鏈的網(wǎng)絡(luò)攻擊事件被Trustwave公司稱之為“十年來最嚴(yán)重和最具破壞性的網(wǎng)絡(luò)安全事件，該事件在全球范圍內(nèi)引起了軒然大波。多家公司和美國政府機(jī)構(gòu)成為該活動(dòng)的受害者，網(wǎng)絡(luò)犯罪分子利用FireEye紅隊(duì)工具和內(nèi)部威脅情報(bào)數(shù)據(jù)植入惡意后門更新(稱為SUNBURST)，影響了大約18000名客戶，并使網(wǎng)絡(luò)攻擊者能夠修改、竊取和破壞網(wǎng)絡(luò)上的數(shù)據(jù)。Trustwave公司表示，盡管SolarWinds在2020年12月13日發(fā)布了補(bǔ)丁，但受感染的服務(wù)器如今仍然使用，網(wǎng)絡(luò)攻擊仍在發(fā)生，這是因?yàn)楹芏嗥髽I(yè)不知道在補(bǔ)丁之前設(shè)置休眠向量。

去年12月，前美國國家安全局黑客、安全咨詢機(jī)構(gòu)TrustedSec公司的創(chuàng)始人David Kennedy在接受行業(yè)媒體采訪時(shí)說：“當(dāng)你看到SolarWinds攻擊發(fā)生的事情時(shí)，這是一個(gè)典型的例子，說明網(wǎng)絡(luò)攻擊者可以選擇部署其產(chǎn)品的任何目標(biāo)，很多受害者是分布在世界各地的大量公司，而大多數(shù)企業(yè)都沒有能力將其納入從檢測和預(yù)防角度作出的反應(yīng)?！?

2021年6月，里士滿大學(xué)管理學(xué)教授兼風(fēng)險(xiǎn)管理和工業(yè)與運(yùn)營工程專家Shital Thekdi表示，SolarWinds遭遇的網(wǎng)絡(luò)攻擊是史無前例的，因?yàn)樗軌蛟斐芍卮蟮奈锢砗蠊?，可能?huì)影響關(guān)鍵基礎(chǔ)設(shè)施提供商的能源和制造能力，并造成持續(xù)的入侵，應(yīng)被視為具有潛在巨大危害的嚴(yán)重事件。

2、EternalBlue漏洞利用和WannaCry/NotPetya勒索軟件攻擊

Trustwave公司名單的下一個(gè)是2017年的EternalBlue漏洞利用和隨后發(fā)生的WannaCry/NotPetya勒索軟件事件。黑客組織ShadowBrokers泄露了從美國國家安全局(NSA)竊取的重大漏洞利用，這些漏洞被用于執(zhí)行極具破壞性的WannaCry和NotPetya勒索軟件攻擊，影響了全球數(shù)千個(gè)系統(tǒng)，對英國和烏克蘭的衛(wèi)生服務(wù)造成了特別的損害。最重要的漏洞利用被稱為EternalBlue，針對的是CVE-2017-0144漏洞，微軟公司在ShadowBrokers泄漏前一個(gè)月修補(bǔ)了該漏洞。Trustwave公司稱，EternalBlue漏洞利用至今仍活躍在流行的聯(lián)網(wǎng)設(shè)備搜索引擎Shodan中，目前列出了7500多個(gè)易受攻擊的系統(tǒng)。

2017年，RiskSense公司研究人員表示，“EternalBlue漏洞利用非常危險(xiǎn)，因?yàn)樗梢蕴峁缀跛形创蜓a(bǔ)丁的Microsoft Windows系統(tǒng)的即時(shí)、遠(yuǎn)程和未經(jīng)身份驗(yàn)證的訪問，這是家庭用戶和商業(yè)世界中使用最廣泛的操作系統(tǒng)之一?！?

3、OpenSSL中的Heartbleed漏洞

Trustwave公司在文章中聲稱，在2014年出現(xiàn)的Heartbleed漏洞如今繼續(xù)肆虐，估計(jì)迄今為止威脅到20多萬個(gè)易受攻擊的系統(tǒng)。安全研究人員在OpenSSL(一種保護(hù)Web的加密技術(shù))中發(fā)現(xiàn)了嚴(yán)重缺陷(CVE-2014-0160)。它之所以被稱為Heartbleed，是因?yàn)镺penSSL的TLS/DTLS(傳輸層安全協(xié)議)擴(kuò)展組件(RFC6520)的實(shí)現(xiàn)中存在該漏洞，并允許互聯(lián)網(wǎng)上的任何人讀取系統(tǒng)的內(nèi)存。

Heartbleed漏洞引起了大規(guī)模的恐慌，并很快被標(biāo)記為互聯(lián)網(wǎng)歷史上最嚴(yán)重的安全漏洞之一。信息安全先驅(qū)Bruce Schneier在他的博客文章中說：“如果將災(zāi)難性在1到10的范圍內(nèi)分類的話，那么Heartbleed帶來的災(zāi)難是11?！?

在2014年撰寫的一篇文章中，安全顧問Roger Grimes制定了一個(gè)三步計(jì)劃，以幫助企業(yè)控制其OpenSSL環(huán)境并緩解Heartbleed漏洞。OpenSSL可能在60%或更多的網(wǎng)站上運(yùn)行HTTPS連接，并用于許多其他使用基于SSL/TLS的協(xié)議的流行服務(wù)，如POP/S、IMAP/S和VPN。如果可以連接到基于SSL/TLS的服務(wù)，并且它沒有運(yùn)行Microsoft Windows或Apple OSX，那么很有可能它很容易受到攻擊。

4、在Bash中執(zhí)行Shellshock遠(yuǎn)程代碼

Trustwave公司在文章中指出，Shellshock(CVE-2014-7169)是“Bourne Again Shell”(Bash)命令行界面中的一個(gè)錯(cuò)誤，在2014年被發(fā)現(xiàn)之前已經(jīng)存在了30年。該公司補(bǔ)充說：“該漏洞被認(rèn)為比Heartbleed更嚴(yán)重，因?yàn)樗试S網(wǎng)絡(luò)攻擊者在沒有用戶名和密碼的情況下完全控制系統(tǒng)。”雖然在2014年9月發(fā)布了一個(gè)補(bǔ)丁，Shellshock漏洞當(dāng)前處于非活動(dòng)狀態(tài)，而黑客利用DNS劫持來訪問敏感系統(tǒng)。

Easy Solutions公司首席技術(shù)官Daniel Ingevaldson在2014年發(fā)表評論說：“利用這一漏洞依賴于可以從互聯(lián)網(wǎng)以某種方式訪問bash功能。bash的問題在于它被用于任何事情。在基于Linux的系統(tǒng)上，bash是默認(rèn)的shell，任何啟用web的進(jìn)程需要調(diào)用shell來處理輸入、運(yùn)行命令(例如ping、sed或grep等)時(shí)，它都會(huì)調(diào)用Bash?！?

5、ApacheStruts遠(yuǎn)程命令注入和Equifax漏洞

這個(gè)嚴(yán)重的零日漏洞影響了2017年發(fā)現(xiàn)的Web應(yīng)用程序開發(fā)框架Apache Struts 2中的Jakarta Multipart解析器。這個(gè)漏洞允許通過錯(cuò)誤地解析攻擊者的無效Content-Type HTTP標(biāo)頭來進(jìn)行遠(yuǎn)程命令注入攻擊。在幾個(gè)月之后，信用報(bào)告巨頭Equifax公司宣布，黑客已經(jīng)獲得了企業(yè)數(shù)據(jù)的訪問權(quán)限，這些數(shù)據(jù)可能會(huì)泄露美國、英國和加拿大等國家的1.43億人的敏感信息。進(jìn)一步分析發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊者使用該漏洞(CVE-2017-5638)作為初始攻擊向量。

2017年9月，威脅情報(bào)機(jī)構(gòu)SurfWatch Labs的首席安全策略師Adam Meyer表示：“這種特殊的數(shù)據(jù)泄露將影響許多企業(yè)和聯(lián)邦機(jī)構(gòu)用來打擊其自身形式的欺詐行為的利用身份驗(yàn)證堆棧。”Trustwave公司認(rèn)為此漏洞當(dāng)前處于非活動(dòng)狀態(tài)。

6、推測執(zhí)行漏洞Meltdown和Spectre

Trustwave公司在其下一個(gè)列表中引用了2018年被稱為Meltdown和Spectre的重大CPU漏洞。這些屬于一類稱為推測執(zhí)行漏洞，網(wǎng)絡(luò)攻擊者可以將其作為攻擊目標(biāo)，利用運(yùn)行計(jì)算機(jī)的CPU來訪問存儲(chǔ)在其他運(yùn)行程序內(nèi)存中的數(shù)據(jù)。博客文章寫道，“Meltdown(CVE-2017-5754)破壞了阻止應(yīng)用程序訪問任意系統(tǒng)內(nèi)存的機(jī)制。Spectre(CVE-2017-5753和CVE-2017-5715)欺騙其他應(yīng)用程序訪問其內(nèi)存中的任意位置。兩種攻擊都使用側(cè)通道從目標(biāo)內(nèi)存位置獲取信息?！?

這兩個(gè)漏洞都很重要，因?yàn)樗鼈冮_啟了危險(xiǎn)攻擊的可能性。正如2018年安全行業(yè)媒體在一篇文章中所述，“例如，網(wǎng)站上的JavaScript代碼可以使用Spectre來欺騙網(wǎng)絡(luò)瀏覽器以泄露用戶和密碼信息。網(wǎng)絡(luò)攻擊者可以利用Meltdown查看其他用戶擁有的數(shù)據(jù)，甚至是同一硬件上托管的其他虛擬服務(wù)器，這對云計(jì)算主機(jī)來說可能是災(zāi)難性的。”值得慶幸的是，Trustwave公司表示，Meltdown和Spectre似乎處于非活動(dòng)狀態(tài)，目前沒有發(fā)現(xiàn)任何漏洞。

7、BlueKeep和遠(yuǎn)程桌面作為訪問媒介

在大規(guī)模遠(yuǎn)程工作以及2020年3月發(fā)生的新冠疫情引發(fā)的安全風(fēng)險(xiǎn)之前的幾年，網(wǎng)絡(luò)犯罪分子以遠(yuǎn)程桌面為攻擊目標(biāo)，利用RDP漏洞竊取個(gè)人數(shù)據(jù)、登錄憑據(jù)和安裝勒索軟件。然而，2019年，隨著BlueKeep的發(fā)現(xiàn)，遠(yuǎn)程桌面作為攻擊向量的威脅真正凸顯出來，BlueKeep是Microsoft遠(yuǎn)程桌面服務(wù)中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。Trustwave公司在文章中寫道：“安全研究人員認(rèn)為BlueKeep特別嚴(yán)重，因?yàn)樗强晒舻?，這意味著網(wǎng)絡(luò)攻擊者可以利用它在計(jì)算機(jī)之間傳播惡意軟件，而無需人工干預(yù)?！?

事實(shí)上，這就是問題的嚴(yán)重性，美國國家安全局(NSA)就該問題發(fā)布了提出自己的建議，“這是惡意網(wǎng)絡(luò)行為者經(jīng)常通過使用專門針對該漏洞的軟件代碼來利用的漏洞類型。例如，可以利用該漏洞進(jìn)行拒絕服務(wù)攻擊。遠(yuǎn)程利用工具廣泛用于這一漏洞可能只是時(shí)間問題。美國國家安全局(NSA)擔(dān)心惡意網(wǎng)絡(luò)攻擊者會(huì)利用勒索軟件中的漏洞和包含其他已知漏洞的漏洞利用工具包，從而增強(qiáng)針對其他未修補(bǔ)系統(tǒng)的能力。”

Trustwave公司表示，BlueKeep仍然處于活動(dòng)狀態(tài)，并在Shodan上發(fā)現(xiàn)了3萬多個(gè)易受攻擊的實(shí)例。

8、Drupalgeddon系列和CMS漏洞

Trustwave公司表示，Drupalgeddon系列包括兩個(gè)關(guān)鍵漏洞，如今美國聯(lián)邦調(diào)查局(FBI)認(rèn)為這些漏洞仍然活躍。第一個(gè)漏洞是CVE-2014-3704，于2014年被發(fā)現(xiàn)，以開源內(nèi)容管理系統(tǒng)DrupalCore中的SQL注入漏洞的形式出現(xiàn)，威脅參與者利用該漏洞入侵大量網(wǎng)站。在四年之后，Drupal安全團(tuán)隊(duì)披露了另一個(gè)名為Drupalgeddon 2(CVE-2018-7600)的極其嚴(yán)重的漏洞，該漏洞是由于Drupal7Form API上的輸入驗(yàn)證不足而導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者可以在默認(rèn)或常見Drupal安裝和執(zhí)行遠(yuǎn)程代碼。網(wǎng)絡(luò)攻擊者使用Drupalgeddon 2漏洞在Drupal安裝受損的服務(wù)器上挖掘加密貨幣。

2014年底，印第安納州教育部將其網(wǎng)站遭到攻擊歸咎于Drupal漏洞，該漏洞迫使其在問題得到解決期間暫時(shí)關(guān)閉其網(wǎng)站。

9、Microsoft WindowsOLE漏洞Sandworm

Trustwave公司列表中的倒數(shù)第二個(gè)漏洞是2014年檢測到的Microsoft Windows對象鏈接和嵌入(OLE)漏洞CVE-2014-4114。該公司在博客文章寫道，“該漏洞被用于針對北約、烏克蘭和西方政府組織以及能源行業(yè)公司的網(wǎng)絡(luò)間諜活動(dòng)?！庇捎诎l(fā)起該活動(dòng)的攻擊者團(tuán)體名稱“沙蟲團(tuán)隊(duì)”，該漏洞獲得了“沙蟲”這個(gè)綽號。Trustwave 公司認(rèn)為該漏洞目前處于非活動(dòng)狀態(tài)。

10、Ripple20漏洞和物聯(lián)網(wǎng)設(shè)備不斷增長

Trustwave公司的列表中的最后一個(gè)是Ripple20漏洞，這些漏洞突出了圍繞不斷擴(kuò)大的物聯(lián)網(wǎng)領(lǐng)域的風(fēng)險(xiǎn)。2020年6月，以色列物聯(lián)網(wǎng)安全服務(wù)商JSOF公司發(fā)布了19個(gè)漏洞，統(tǒng)稱為Ripple20，以說明它們將在未來幾年對聯(lián)網(wǎng)設(shè)備產(chǎn)生的“漣漪效應(yīng)”。

Trustwave在博客文章中指出，“這些漏洞存在于Treck網(wǎng)絡(luò)堆棧中，侵入到50多家供應(yīng)商和數(shù)百萬臺(tái)設(shè)備中，其中包括醫(yī)療保健、數(shù)據(jù)中心、電網(wǎng)和關(guān)鍵基礎(chǔ)設(shè)施中的關(guān)鍵任務(wù)設(shè)備?！?

正如行業(yè)媒體在2020年所概述的那樣，一些漏洞可能允許通過網(wǎng)絡(luò)遠(yuǎn)程執(zhí)行代碼，并導(dǎo)致受影響設(shè)備的全面入侵。Trustwave公司表示，Ripple20漏洞如今仍然很活躍。

如果漏洞未能修復(fù)將會(huì)在檢測之后很長時(shí)間內(nèi)構(gòu)成風(fēng)險(xiǎn)。

Trustwave公司引用了這樣一個(gè)事實(shí)，即其列表中存在的幾個(gè)漏洞是在近十年前檢測到的，但即使在補(bǔ)丁和修復(fù)程序可用之后，隨著時(shí)間的推移，其中許多漏洞仍會(huì)繼續(xù)構(gòu)成風(fēng)險(xiǎn)。這表明企業(yè)：

1. 缺乏跟蹤和記錄網(wǎng)絡(luò)上運(yùn)行的各種服務(wù)的能力。
2. 在不中斷工作流程的情況下，努力為資產(chǎn)擔(dān)保并應(yīng)用補(bǔ)丁。
3. 對發(fā)現(xiàn)的零日反應(yīng)遲緩。

Trustwave公司補(bǔ)充說，鑒于2021年檢測到的零日攻擊急劇增加，這可能具有更大的意義。

Trustwave公司安全研究總監(jiān)Alex Rothacker表示，很多企業(yè)正在不斷地打補(bǔ)丁以應(yīng)對最新的漏洞。他說，“這是極具挑戰(zhàn)性的，尤其是對于員工有限或沒有專職安全員工的小型企業(yè)而言。即使對于較大的企業(yè)，也不總是有現(xiàn)成的補(bǔ)丁可用。以Log4j漏洞為例。大多數(shù)易受攻擊的Log4j版本是較大的第三方軟件包的一部分，許多第三方供應(yīng)商仍在努力全面更新其復(fù)雜的應(yīng)用程序。”

更重要的是，隨著時(shí)間的推移，焦點(diǎn)轉(zhuǎn)移到下一個(gè)漏洞上，導(dǎo)致原有的補(bǔ)丁有時(shí)丟失，Rothacker補(bǔ)充說，“漏洞越老，關(guān)于如何利用它的信息就越多。這使該漏洞更容易利用，網(wǎng)絡(luò)攻擊者利用已知漏洞所需的技能更少。對于老練的網(wǎng)絡(luò)攻擊者來說，這是一個(gè)容易攻擊的目標(biāo)?！?