盘点 2021 年十大安全漏洞

上星期,我们以“创宇资讯”角度发布了2021年最受关注的十大网络安全事件。 以下为创宇资讯整理并总结出的2021年十大安全漏洞,希望以此为网络安全建设提供参考。 (转载本文请注明出处:https://hackernews.cc/archives/37322)   一.Apache Log4j2 远程代码执行漏洞   Apache Log4j2是一个基于Java的日志记录工具,该日志框架被大量用于业务系统开发,用来记录日志信息。 Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷,就可以实现目标服务器任意命令执行,获取目标服务器权限。 由于日志记录存在的普遍性,所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见,未来数月甚至数年该漏洞才能得到比较全面的修补。 漏洞涉及CVE编号: CVE-2021-44228 漏洞影响版本: Apache log4j2 2.0 至 2.14.1 版本   二.QNAP NAS Roon Server套件认证绕过、命令注入漏洞   威联通科技股份有限公司(QNAP Systems, Inc.),是极少数以商用服务器获得世界认同的中国台湾省跨国企业,致力于研发并提供高质量网络储存设备及专业网络监控录像设备 给家庭、SOHO 族、以及中小企业用戶。 2021年6月11日,CNCERT物联网安全研究团队与启明星辰金睛安全研究团队共同发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限饶过漏洞(CVE-2021-28810)和命令注入漏洞(CVE-2021-28811)相关的细节,并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中,QNAP官方于2021年6月4日重新发布修复后的应用。 在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。 勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是第一个也不会是最后一个。 漏洞涉及CVE编号:CVE-2021-28810、CVE-2021-28811   三.Microsoft Exchange高危攻击链   2021年3月3日微软紧急发布了Exchange更新补丁,披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用,其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证,可以结合CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下: CVE-2021-26855 服务端请求伪造漏洞,可以绕过Exchange Server的身份验证。 CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞,需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。 漏洞涉及CVE编号:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065   四.VMware vCenter Server 未授权远程命令执行漏洞   Vmware vCenter Server是ESXi的控制中心,可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。 2021年5 月 25 日,VMware 官方发布安全公告,修复了 VMware vCenter Server 和 VMware Cloud Foundation 远程代码执行漏洞(CVE-2021-21985)和身份验证漏洞(CVE-2021-21986)。其中 CVE-2021-21985 漏洞攻击复杂度低,且不需要用户交互,攻击者可利用该漏洞在目标系统上执行任意命令,从而获得目标系统的管理权限。 漏洞涉及CVE编号:CVE-2021-21985 漏洞影响版本: Vmware vCenter Server 7.0 系列 < 7.0.U2b Vmware vCenter Server 6.7系列 < 6.7.U3n Vmware vCenter Server 6.5 系列 < 6.5.U3p Vmware Cloud Foundation 4.x 系列 < 4.2.1 Vmware Cloud Foundation 3.x 系列 < 3.10.2.1   五.Zyxel NAS FTP 服务未授权远程命令执行漏洞   Zyxel(合勤科技)是国际知名品牌的网络宽带系统及解决方案的供应商。 2020 年,Zyxel 多个型号 NAS 以及防火墙设备被曝出存在未授权 RCE 漏洞(CVE-2020-9054 ),该漏洞被用于地下黑市售卖,其价值高达 20000 美元,漏洞成因是 Zyxel NAS 和防火墙产品中使 用的 PAM 认证模块存在漏洞,未经身份认证的攻击者可以通过 Web 服务入口 weblogin.cgi 程序的 username 字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件 补丁。 经过验证,Zyxel官方只修复了漏洞的入口点,对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复,这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。 漏洞涉及CVE编号:CVE-2020-9054 补丁绕过   六.Windows Print Spooler 远程代码执行漏洞   Windows Print Spooler 是 Windows 的打印机后台处理程序,广泛的应用于各种内网 中。 2021年6 月 29 日,有安全研究人员公开了了一个 Windows Print Spooler 相关的 exp,也被称为PrintNightmare。后经过验证,微软为该漏洞分配了一个新的CVE编号:CVE-2021-34527。利用该exp,攻击者 能够以 SYSTEM 权限控制域控主机,微软在7月7日紧急修复了该漏洞。 攻击者可以通过该漏洞绕过 SplAddPrinterDriver 的安全验证,并在打印服务器中安装 恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到 DC 中的 Spooler 服务,并利用该漏洞在 DC 中安装恶意的驱动程序,完整的控制整个域环境。 漏洞涉及CVE编号:CVE-2021-34527   七.Apache HTTPd 路径穿越和远程命令执行漏洞   2021年9 月 29 日,国外安全研究员向 Apache 官方提交了 Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773),官方于 10 月 1 日修复了该漏洞并且于 10 月 4 日发布新版本 Apache HTTPd 2.4.50。 2021年10 月 5 日,Github 上开始出现漏洞 CVE-2021-41773 的 POC,经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取,甚至可以在 cgi 模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过,于是 10 月 7 日,Apache 官方再次发布新版本 Apache HTTPd 2.4.51 修复了 CVE-2021-41773 的绕过问题并且注册了新的 CVE 编号 CVE-2021-42013。 漏洞涉及CVE编号:CVE-2021-41773,CVE-2021-42013   八.Confluence Webwork OGNL表达式注入漏洞   Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。 2021年8月25日,Confluence发布漏洞公告,Confluence Webwork OGNL 存在表达式注入漏洞,编号为:CVE-2021-26084。 经过分析,2021年9月1日,国外安全研究人员公开了该漏洞细节,未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证,无需授权访问的接口 /pages/createpage-entervariables.action 存在OGNL表达式注入的问题,这也使得该漏洞的影响面和危害进一步扩大。 漏洞涉及CVE编号:CVE-2021-26084 漏洞影响版本: Confluence Server & Confluence Data Center < 6.13.23 Confluence Server & Confluence Data Center < 7.11.6 Confluence Server & Confluence Data Center < 7.12.5 Confluence Server & Confluence Data Center < 7.4.11   九.锐捷网关未授权远程命令执行漏洞   锐捷⽹络成⽴于2000年1⽉,是中国数据通信解决⽅案领导品牌。2021年1⽉12⽇,⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于 /guest_auth/guestIsUp.php接口未过滤用户输入,直接拼接到命令执行,未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。 该漏洞影响范围比较广,通过ZoomEye网络空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录(数据查询日期:2021年1月19日),主要分布在中国。   十.GitLab未授权远程命令执行漏洞   GitLab是由GitLab Inc.开发,一款基于Git的完全集成的软件开发平台。 2021年4⽉14⽇,GitLab 官⽅发布安全通告,GitLab CE/EE 中存在认证 RCE 漏洞,并分配漏洞编号CVE-2021-22205,随后也有相关的POC公布,但由于需要认证,该漏洞影响范围有限。 2021年10月25日,HN Security 发文称,有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞,并公开了攻击者使用的 payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低,带来的是漏洞影响范围的扩大,影响有限的漏洞也能发挥出惊人的破坏力。 漏洞涉及CVE编号:CVE-2021-22205

盘点 2021 年十大网络安全事件

作者:知道创宇404实验室 (转载本文请注明出处:https://hackernews.cc/archives/37193)   在网络安全领域,2021年注定是不平静的一年。世界各地频发网络安全事件,诸如数据泄漏、勒索软件、黑客攻击等等层出不穷,有组织、有目的的网络攻击形势愈加明显,网络安全风险持续增加。另外,我国也颁布了多项网络安全相关法律法规,为我国互联网安全领域法律法规的完善之路拉开了序幕。本文以“创宇资讯”视角出发,筛选并总结出了2021年最受关注的十大网络安全事件。   事件一:《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等网络安全相关法律施行。   《中华人民共和国数据安全法》 详情链接:https://mp.weixin.qq.com/s/OOEQqZECu-TbWBZ86_O1Dg 于2021年9月1日起施行。该部法律体现了总体国家安全观的立法目标,聚焦数据安全领域的突出问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,并明确了相关主体的数据安全保护义务,这是我国首部数据安全领域的基础性立法。   《关键信息基础设施安全保护条例》 详情链接:https://mp.weixin.qq.com/s/e8lv9giBX-EXk0ZWv8cvlw 于2021年9月1日起施行。该部法律明确了关键信息基础设施的定义及认定程序;明确建立了网络安全信息共享机制;规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等可能影响或危害关键信息基础设施安全的活动。是在《网络安全法》框架下全面规范关键信息基础设施安全保护的基础性法规,是加强网络安全领域立法、完善网络安全保护法律法规体系的重要举措,为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。   《中华人民共和国个人信息保护法》 详情链接:https://mp.weixin.qq.com/s/KYH400MOTBDPgwCUCN3FCA 于2021年11月1日起施行。该部法律围绕个人信息的处理,从处理规则、跨境提供、个人权力、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理强调了特别规则。其出发点是保护个人对于个人信息处理享有的权力,厘清企业等个人信息处理者应当遵循的规则和履行的义务,同时明确违法和侵权行为的法律责任。此律成为中国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护以及各组织的数据隐私合规实都将产生直接和深远的影响。     事件二:黑客攻击美国佛罗里达水务公司,供水系统险遭“投毒” 详情链接:https://hackernews.cc/achives/37181 2月8日,一名黑客侵入了佛罗里达州奥德马尔的一家水处理厂,通过篡改可远程控制的计算机数据,将该厂水中的氢氧化钠含量调高到了极其危险的水平,让整个城市的人都差点中毒。幸运的是,水厂的运营商及时发现了问题,避免了一场灾难。此次入侵,使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗。凸显了市政基础设施面临网络攻击的风险。水务投毒事件一度引起水务行业甚至关键基础设施行业的极度恐慌。     事件三:微软Exchange Server 产品曝严重安全漏洞,FBI从被黑服务器中移除后门 详情链接:https://hackernews.cc/archives/35131 https://hackernews.cc/archives/35212 3月2日,微软发布了Microsoft Exchange Server的安全更新公告,其中包含多个Exchange Server严重安全漏洞,危害等级为“高危”。并且已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。微软第一时间修复这些漏洞,但发布的补丁并未关闭已经遭入侵的服务器的后门,其他黑客组织几天后纷纷开始效仿,纷纷针对Exchange服务器进行攻击。该安全漏洞使全球多个国家或地区的企业、政府机构、教育机构以及医疗机构等出现严重的信息泄露问题。因此,美国司法部于4月13日宣布一项由美国休斯敦法院授权的行动,批准FBI利用黑客方式删除Exchange Server后门程序。     事件四:美国保险巨头CNA Financia被勒索4000万美元赎金,破赎金最高纪录 详情链接:https://www.cnbeta.com/articles/tech/1130609.htm 今年3月底,美国最大的保险公司之一CNA Financial被勒索软件攻击,在试图恢复文件无果之后,他们开始与攻击者谈判,黑客要求的赎金高达6000万美元。最后,CNA Financial在事件发生两周后支付了4000万美元赎金,以重新获得对其网络的控制权。根据目前已公开的勒索病毒付款事件,CNA Financial以4000万美元赎金“强势登顶”,创下迄今为止已知的最大勒索软件赎金支付。   事件五:两大数据泄露事件——Facebook 5.33亿用户、领英7亿用户数据泄露,于暗网出售 详情链接:https://hackernews.cc/archives/35159 https://hackernews.cc/archives/37186 4月,据外媒《The Record》报道,来自106个国家和地区的超过5.33亿Facebook用户的个人信息在一个黑客论坛上被泄露,包括用户的个人信息,如Facebook ID、全名、地点、出生日期、电子邮件地址以及用户可能在个人资料中输入的其他任何内容。此外,数据库还包含所有用户的电话号码,一些没在网站上公开电话号码的用户也没能幸免。这批数据通过随机抽样检测验证了真实性。不久,又一起重大信息泄露事件发生,在6月22日,有黑客在暗网平台出售超过7亿领英用户数据发布一个包含100万领英用户的样本数据集。据悉,领英有7.56亿用户,也就是说有约92%的领英用户可以在该泄露的数据库中检索到个人的信息。此次事件也成为领英历史以来最大规模的数据泄漏。     事件六:美国最大成品油管道运营商Colonial Pipeline遭到网络攻击 详情链接:https://hackernews.cc/archives/35338 https://hackernews.cc/archives/35368   2021年5月7日(美国当地时间),美国最大成品油管道运营商Colonial Pipeline遭到网络攻击,此次攻击事件导致提供美国东部沿海主要城市45%燃料供应的输送油气管道系统被迫下线。极大影响了美国东海岸燃油等能源供应,美国政府宣布进入国家紧急状态。最终Colonial Pipeline支付了将近500万美元的赎金以恢复被攻击的系统。本次攻击成为美国能源系统有史以来遭遇的最严重网络袭击。     事件七:SolarWinds事件背后由俄罗斯支持的Nobelium黑客瞄准全球IT供应链 详情链接:https://hackernews.cc/archives/36551 10月25日,微软威胁情报中心发布报告称,去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团自2021年5月以来一直在开展持续性的攻击活动,微软在发现这些攻击后通知了受影响的目标,还在威胁保护产品中增加了检测功能,使这些目标在未来能够发现入侵企图。自7月以来,超过600名微软客户成为目标。自2021年5月以来,有140家管理服务提供商(MSP)和云服务提供商受到攻击,至少有14家被攻破。   事件八:微软称其抵挡了有史以来最大的 DDoS 攻击 带宽负载高达 2.4 Tbps 详情链接:https://hackernews.cc/archives/36395 微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。亚马逊网络服务(AWS)之前保持着最大的DDoS攻击防御的记录,也就是上面所说的2.3Tbps的尝试,超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。     事件九:核弹级漏洞log4shell席卷全球 详情链接:https://hackernews.cc/archives/37005 https://hackernews.cc/archives/37035 https://hackernews.cc/archives/37070   12月10日公开的核弹级漏洞log4shell席卷全球 。新西兰计算机紧急响应中心(CERT)、美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)等多国机构相继发出警告。全球近一半企业因为该漏洞受到了黑客的试图攻击。已证实服务器易受到漏洞攻击的公司包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、 Steam等。据统计,共有6921个应用程序都有被攻击的风险。其危害程度之高,影响范围之大,以至于不少业内人士将其形容为“无处不在的零日漏洞”。并且,Log4j 漏洞可能需要数月甚至数年时间才能妥善解决。     事件十:英国国家打击犯罪局向HIBP披露 5.85 亿个被泄露的密码 详情链接:https://hackernews.cc/archives/37087   英国国家犯罪署(NCA)与Have I Being Pwned(HIBP)网站共享了在调查期间发现的超过5.85亿个被盗密码的集合,该网站为安全漏洞数据编制索引。在美国联邦调查局FBI于5月份开始与Have I Being Pwned进行类似的合作之后,NCA现在成为第二个正式向HIBP提供被黑密码的执法机构 。