2021年还有哪些吸引眼球的网络安全事件

1. 数据泄露益百利数据曝光LinkedIn 数据抓取

2. 主要零日漏洞Log4Shell NSO Group Palo Alto 谷歌戴尔

3. 代码库和软件供应链

4. 勒索软件变种HelloKitty 的 Linux 变体以虚拟机为目标MosesStaff：没有可用的解密Epsilon Red 以 Exchange 服务器为目标

5. 游戏安全

近日，有外媒刊文称，2020 年其读者在网络安全方面的关注多为居家办公安全、以疫情为主题的事件等，但 2021 年发生了明显的转变。随着 2021 年接近尾声，Log4Shell、科洛尼尔公司、kaseya、ProxyLogon/ProxyShell、太阳风等大事件占据了今年新闻头条，但从流量来看，读者还对以下5项内容很感兴趣：

1. 数据泄露

2. 主要零日漏洞

3. 代码库恶意软件

4. 勒索软件创新

5. 游戏攻击

（图片来源于外媒）

4月，罗切斯特理工学院大二学生比尔·德米尔卡皮（Bill Demirkapi）发现，几乎每个美国人的信用分数都通过益百利（Experian）信贷局使用的API工具暴露出来。该工具称为Experian Connect API，允许贷款人自动执行FICO分数查询。德米尔卡皮说，他能够构建一个命令行工具，让他自动查找几乎所有人的信用评分，即使在出生日期字段中输入了全零。益百利并不是唯一一个因数据不安全而吸引读者的家喻户晓的名字：LinkedIn数据在暗网上出售是今年另一个非常热门的话题。

（图片来源于外媒）

在 4 月份的一次数据抓取事件中，5 亿 LinkedIn 会员受到影响后，该事件在 6 月份再次发生。一个自称为“GOD User TomLiner.”的黑客在RaidForums 上发布了一条包含 7 亿条 LinkedIn 待售记录的帖子。该广告包含 100 万条记录样本作为“证据”。Privacy Sharks 检查了免费样本，发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么。据 LinkedIn 称，没有发生任何网络泄露事件。

研究人员表示，即便如此，安全后果也很严重，可以导致暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼尝试、身份盗窃等。

（图片来源于外媒）

从 Log4Shell 开始。

Log4Shell 漏洞是无处不在的 Java 日志库 Apache Log4j 中的一个容易被利用的缺陷，它可能允许未经身份验证的远程代码执行 (RCE) 和完整的服务器接管——并且它仍然在野外被积极利用。

该缺陷 (CVE-2021-44228) 首先出现在迎合世界上最受欢迎的游戏 Minecraft 用户的网站上。Apache 匆忙发布补丁，但在一两天内，由于威胁行为者试图利用新漏洞，攻击变得越发猖獗。

（图片来源于外媒）

9 月，一个名为 ForcedEntry be 的零点击零日漏洞被发现，它影响了苹果的所有产品：iPhone、iPad、Mac 和手表。它被 NSO Group 用来安装臭名昭著的 Pegasus 间谍软件。

苹果推出了紧急修复程序，但 Citizen Lab 已经观察到 NSO Group 的目标是前所未见的零点击漏洞。ForcedEntry漏洞尤其引人注目，因为它成功部署在最新的iOS版本14.4和14.6上，突破了苹果新的BlastDoor沙箱功能。

（图片来源于外媒）

另一个引起广大读者兴趣的零日消息是，Randori的研究人员开发了一个有效的漏洞，通过关键漏洞CVE 2021-3064，在Palo Alto Networks的GlobalProtect防火墙上获得远程代码执行（RCE）。

Randori 研究人员表示，如果攻击者成功利用该弱点，他们可以在目标系统上获得 shell，访问敏感配置数据，提取凭据等；之后，攻击者可以跨越目标组织。他们说：“一旦攻击者控制了防火墙，他们就可以看到内部网络，并可以继续横向移动。”

Palo Alto Networks 在披露当天修补了该漏洞。

（图片来源于外媒）

今年 3 月，谷歌急忙修复其 Chrome 浏览器中的一个受到主动攻击的漏洞。如果被利用，该漏洞可能允许对受影响系统进行远程代码执行和拒绝服务攻击。

（图片来源于外媒）

该缺陷是一个释放后使用漏洞，特别存在于 Blink 中，Blink 是作为 Chromium 项目的一部分开发的 Chrome 浏览器引擎。浏览器引擎将 HTML 文档和其他网页资源转换为最终用户可以查看的视觉显示。

“通过说服受害者访问特制网站，远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件，” IBM X-Force 在对该漏洞的报告中称。

今年早些时候，发现自 2009年以来售出的所有戴尔个人电脑、平板电脑和笔记本电脑中都存在五个隐藏了 12 年的高严重性安全漏洞。据SentinelLabs称，它们允许绕过安全产品，执行代码并转向网络的其他部分进行横向移动。

研究人员表示，这些缺陷潜伏在戴尔的固件更新驱动程序中，可能会影响数亿台戴尔台式机、笔记本电脑、笔记本电脑和平板电脑。

自 2009 年以来一直在使用的固件更新驱动程序版本 2.3 (dbutil_2_3.sys) 模块中，存在多个本地权限提升 (LPE) 错误。驱动程序组件通过戴尔 BIOS 实用程序处理戴尔固件更新，并且它预先安装在大多数运行 Windows 的戴尔机器上。

软件供应链由开放源代码存储库（Open Source Code Repositories）支撑，使开发人员可以集中上传软件包，供开发人员在构建各种应用程序、服务和其他项目时使用。

它们包括 GitHub以及更专业的存储库，如 Java 的 Node.js 包管理器 (npm) 代码存储库；RubyGems 用于 Ruby 编程语言；Python 的 Python 包索引 (PyPI)等。这些包管理器代表了供应链威胁，因为任何人都可以向他们上传代码，而代码又可能在不知不觉中用作各种应用程序的构建块。任何被恶意代码破坏的应用程序都可以攻击程序的用户。

网络犯罪分子蜂拥而至。

例如，12月，在npm中发现了一系列17个恶意软件包；它们都是针对 Discord 而构建的，Discord 是一个被 3.5 亿用户使用的虚拟会议平台，支持通过语音通话、视频通话、短信和文件进行通信。同样在本月，托管在 PyPI 代码存储库中的三个恶意软件包被发现，总共有超过 12,000 次下载 - 并且可能被偷偷地安装在各种应用程序中。这些软件包包括一个用于在受害者机器上建立后门的木马和两个信息窃取程序。

研究人员上周还发现，Maven Central 生态系统中有 17,000 个未打补丁的 Log4j Java 包，这使得Log4Shell 漏洞利用带来的巨大供应链风险。根据谷歌安全团队的说法，整个生态系统可能需要“几年”才能修复。

使用恶意软件包作为网络攻击媒介也是今年早些时候的一个常见主题。

（图片来源于外媒）

勒索软件在2021 年爆发。用于锁定文件的实际恶意软件的进展，不仅仅是简单地在目标文件夹上打一个扩展名，其包括以下三大发现。

今年 6 月，研究人员首次公开发现了一种 Linux 加密器——被 HelloKitty 勒索软件团伙使用。

HelloKitty 是2 月份对视频游戏开发商 CD Projekt Red攻击的幕后黑手，它开发了许多 Linux ELF-64 版本的勒索软件，用于攻击VMware ESXi 服务器和运行在它们上面的虚拟机 (VM)。

（图片来源于外媒）

VMware ESXi，以前称为 ESX，是一种裸机管理程序，可以轻松安装到服务器上并将它们划分为多个 VM。虽然这使得多个 VM 可以轻松共享相同的硬盘驱动器存储，但它使系统成为攻击的一站式购物点，因为攻击者可以加密用于存储跨 VM 数据的集中式虚拟硬盘驱动器。

11月，一个名为MosesStaff的政治组织瘫痪了以色列实体，没有任何财务目标——也没有交出解密密钥的意图。相反，它正在使用勒索软件对以色列目标进行出于政治动机的破坏性攻击，试图造成最大的破坏。

MosesStaff加密网络并窃取信息，无意索要赎金或纠正损害。该组织还保持着活跃的社交媒体，通过其渠道发布煽动性信息和视频，并公开其意图。

6 月份，威胁行为者在一组 PowerShell 脚本的背后部署了新的勒索软件，这些脚本是为利用未修补的 Exchange 服务器中的缺陷而开发的。

Epsilon Red 勒索软件是在对一家美国酒店业公司发动攻击后发现的，它指的是 X 战警漫威漫画中一个不起眼的敌人角色，一名俄罗斯血统的超级士兵，配备了四个机械触手。

研究人员表示，虽然恶意软件本身是一个用 Go 编程语言编写的“准系统”64 位 Windows 可执行文件，但它的交付系统依赖于一系列 PowerShell 脚本，这些脚本“为最终的勒索软件负载准备被攻击的机器，并最终交付和启动它。”

连续第二年，游戏安全在 2021 年又成为读者关注的焦点，这可能是因为全球新冠肺炎流行推动了更高的游戏量，网络犯罪分子也继续瞄准该领域。在卡巴斯基最近的一项调查中，近 61% 的人报告称遭受过诸如身份盗窃、诈骗或游戏内贵重物品被盗等不法行为。这方面的新闻事件包括Steam 用于托管恶意软件、Twitch 源代码泄露、索尼 PlayStation3 禁令等。

（图片来源于外媒）

（来源：threatpost（作者Tara Seals）。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）