⽹安⼤事记2021年度漏洞利⽤事件汇总
⽹络时代,万物互联,⼈们在享受数字⽣活带来的福利时,背后隐藏的安全漏洞也正时刻构成威胁,只要技术是⼀把双刃剑,漏洞就将伴随信息技术的不断发展,与之相对应的,⼀些⽹络⿊客对漏洞的利⽤技术也在提升,攻击事件变得越发频繁。
⽹络安全公司Check Point Research发布的调查报告指出,在刚刚过去的2021年,每周对针企业的⽹络攻击同⽐2020年增加了50%,尤其是年底爆发的核弹级Log4J 漏洞,每⼩时就有数百万次试图利⽤该漏洞的攻击发⽣。
通过对过去⼀年相关重⼤新闻事件的筛选,不难看出传统科技巨头仍然是漏洞利⽤的重点⽬标,这些企业掌握着最具有价值的数据信息,成为⿊客眼中的“⾹饽饽”,但同时,随着新冠疫情的持续,医疗和远程教育渐长,对这些关乎社会民⽣领域系统的漏洞攻击也正快速增多。
现在,让我们回眸,盘点在2021年引发⾏业、乃⾄整个社会影响的30起代表性漏洞利⽤事件。
1.TikTok 漏洞暴露⽤户的个⼈资料数据和电话号码
2021年1⽉,⽹络安全研究⼈员披露了TikTok中现已修复的安全漏洞,该漏洞可能使攻击者能够建⽴该
应⽤程序的⽤户及其关联电话号码的数据库,⽤于将来的恶意活动。
2.苹果警告:3个iOS的0day漏洞被爆出,可能被⼴泛利⽤
苹果发布了iOS、iPandOS和tvOS的更新以修复漏洞,但涉及的3个漏洞可能已经被⼴泛利⽤,能让攻击者提升权限实现远程操控。
3.未修补的WordPress插件代码注⼊漏洞影响5万个⽹站
⼀个安装在50,000多个站点上的WordPress插件——Contact Form 7 Style被发现存在安全漏洞,可能允许攻击者在受害⽹站上注⼊恶意JavaScript。
4.Telegram漏洞可能允许访问⽤户秘密聊天
Telegram被曝应⽤程序中存在⼀个漏洞,该漏洞可能会将⽤户的秘密消息,照⽚和视频暴露给远程攻击者。
Telegram被曝应⽤程序中存在⼀个漏洞,该漏洞可能会将⽤户的秘密消息,照⽚和视频暴露给远程攻击者。
5.微软企业电⼦邮件产品Exchange Server曝严重漏洞
3⽉3⽇,微软表⽰,⼀个被认为具有政府背景的⿊客组织盯上了微软企业电⼦邮件产品Exchange Server。该组织利⽤的漏洞是⽹络安全公司Volexity Inc.于1⽉初发现的零⽇漏洞。微软⽅⾯称,这4个漏洞已被修复。
6.研究⼈员发现插件中的零⽇漏洞,可接管WordPress⽹站
Wordfence团队研究⼈员3⽉10⽇表⽰,在The Plus Addons for Elementor WordPress插件中发现了⼀个零⽇漏洞漏洞,可以利⽤该漏洞获得⽹站管理权并接管⽹站。研究⼈员警告,该零⽇漏洞已在野利⽤。
7.被曝⾼危0day漏洞
4⽉16⽇,PC版客户端被曝存在⼀个⾼危等级的在野0day漏洞。⿊客只需要通过发送⼀个特制Web链接,⽤户⼀旦点击链接,PC(Windows)版进程便会加载shellcode执⾏,整个过程⽆⽂件落地,⽆新进程产⽣。。cve漏洞库
8.Facebook被爆新漏洞:可收集⽤户的电⼦邮件信息
4⽉初,⿊客公开放出了⼀个拥有5.3 亿Facebook ⽤户个⼈信息的数据集。随后该公司承认存在本次数据泄漏,但表⽰不会通知在该漏洞中受到影响的⽤户。
9.专家发现苹果AirDrop中的⼀个漏洞,可能会泄露⽤户的个⼈信息
4⽉底,来⾃达姆施塔特⼯业⼤学安全移动⽹络实验室(SEEMOO)和密码学与隐私⼯程⼩组(ENCRYPTO)的⼀个研究⼩组仔细研究了Apple AirDrop,发现了⼀个严重的隐私泄露问题,可能会暴露⽤户的联系信息,如电⼦邮件地址和电话号码。
10.Nvidia发出警告:GPU驱动程序和vGPU软件存在严重的安全漏洞
Nvidia已经披露了Nvidia图形处理单元(GPU)显⽰驱动程序中的⼀组安全漏洞,这可能使游戏玩家和其他⼈遭受特权升级攻击、任意代码执⾏、拒绝服务(DoS)和信息泄露。
11.⾼通芯⽚漏洞正在影响全球约30%移动⼿机
5⽉8⽇,⾼通5G 调制解调器数据服务中的⼀个漏洞可能允许移动⿊客通过向⼿机的调制解调器注⼊恶意代码来远程攻击安卓⽤户,获得执⾏代码的能⼒,访问移动⽤户的通话记录和短信,并窃听电话。
12.因⿊客攻击,爱尔兰医疗系统的计算机系统陷⼊瘫痪
5⽉14⽇,爱尔兰医疗服务部门遭遇了严重的攻击,导致其计算机系统不得不关闭。戴尔发布安全公告,称修补了⼀个存在长达12年的驱动程序漏洞。该漏洞预估影响上亿台戴尔设备。从台式机到最新的Alienware和笔记本电脑,⼤约380种型号的设备受到了影响。
13.严重的Windows HTTP漏洞影响WinRM服务器
Windows IIS 服务器的 HTTP 协议堆栈中存在⼀个可攻击的漏洞,该漏洞还可⽤于攻击未修补的 Windows 10 和公开暴露 WinRM(Windows 远程管理)服务的服务器系统。
14.苹果修复了2个被利⽤来攻击旧版iPhone的WebKit漏洞
苹果公司发布了针对旧款iPhone和iPad的带外iOS更新,并警告说,攻击者正在积极利⽤WebKit中的两个漏洞。
15.专家发现能够绕过Windows Hello功能的漏洞,可登录运⾏Windows 10的电脑
CyberArk Labs 的安全研究⼈员发现了⼀个安全绕过漏洞,该漏洞编号为CVE-2021-34466,影响 Windows Hello ⾯部⾝份验证过程。攻击者可以利⽤该漏洞登录运⾏ Windows 10 操作系统的系统。
16.飞利浦Vue PACS医学成像系统存在严重缺陷
根据披露,飞利浦Vue PACS 医学成像系统中的⼀些漏洞可能被攻击者利⽤来控制受影响的系统,⽐如查看或修改数据、获得系统访问权限、执⾏代码、安装未经授权的软件等。
17.⾕歌:四个0day漏洞被积极利⽤,领英已被攻击
⾕歌安全⼈员分享了4个新的0day漏洞的信息。并且,⾕歌还透露,与俄罗斯有关的APT组织正在利⽤其中的Safari 零⽇漏洞攻击 LinkedIn ⽤户。
18.长达16年的安全漏洞影响了数百万台惠普、三星、施乐打印机
在HP、Xerox和Samsung打印机驱动程序中发现的⼀个存在16年的安全漏洞,允许攻击者使⽤易受攻击的驱动程序软件获得系统管理员权限。
19.微软本地管理程序Hyper-V曝出存在9.9分⾼危漏洞
7⽉28⽇,微软本地管理程序Hyper-V曝出存在9.9分(满分10分)的安全漏洞,可能导致主机DDoS攻击和RCE攻击。Hyper-V⽤于在Windows系统和Azure云计算环境中创建虚拟机。
20.微软对其云计算数据库漏洞发出警告
8⽉26⽇,微软对其数以千计的云计算客户发出警告,攻击者可能允许读取、改变甚⾄删除他们的主数据库。这些客户中包括⼀些全球最⼤的公司。该漏洞存在于微软 Azure 的旗舰产品 Cosmos 数据库。
21.德国医院遭到软件攻击,患者死亡
9⽉初,⿊客利⽤了思杰ADC CVE-2019-19781漏洞对医院发动攻击,医院⽆法进⾏已安排的门诊和急诊护理,导致⼀名病情危重的患者耽误了并死亡。
22.惠普游戏本曝内核级漏洞,影响全球数百万台计算机
HP OMEN 驱动程序软件中存在⼀个严重漏洞,该漏洞影响全球数百万台游戏计算机。该漏洞被命名为CVE-2021-3437(CVSS 评分:7.8),可能允许威胁⾏为者在不需要管理员权限的情况下将权限提升到内核模式,从⽽进⾏禁⽤安全产品、覆盖系统组件,甚⾄破坏操作系统的操作。
23.海康威视摄像头存在远程代码执⾏漏洞
⼀个被跟踪为 CVE-2021-36260 的关键漏洞影响了 70 多个海康威视设备模型,并且可能允许攻击者接管它们。该漏洞是海康威视 IP 摄像机/NVR 固件中的⼀个未经⾝份验证的远程代码执⾏ (RCE) 漏洞。
24. 数字交易平台OpenSeaNFT惊现漏洞,⿊客可窃取加密货币
安全研究⼈员发现,数字交易平台OpenSeaNFT存在漏洞,攻击者可以引诱⽤户点击恶意的NFT艺术品,以此获得权限,并清空他们账户的加密货币。
25.Wi-Fi安全⿊洞:70%的家庭WiFi⽹络可被快速破解
10⽉,Cyber Ark的安全研究⼈员Ido Hoorvitch成功破解了以⾊列特拉维夫5000个WiFi⽹络样本中的70%,此测试表明家庭WiFi⽹络安全的形势极为严峻。
26.英特尔曝出多款处理器存在⾼危漏洞
26.英特尔曝出多款处理器存在⾼危漏洞
英特尔公布了三个影响范围⼴泛的处理器⾼危漏洞,能够允许攻击者和恶意软件在设备系统上获得增强权限。
27.联发科曝“窃听漏洞”,影响全球37%的智能设备
联发科芯⽚被曝出在AI 和⾳频处理组件中存在安全漏洞,该漏洞可导致⽤户不知情的情况下“被⼤规模窃听”。全球约37%的智能⼿机和物联⽹设备都使⽤了联发科的芯⽚。
28.思科Talos发现⼀个⾼危提权漏洞,所有Windows版本均受影响
计算机安全组织Cisco Talos 发现了⼀个新的提权漏洞,该漏洞存在Windows安装程序中,包括Windows 11 和Windows Server 2022 在内的所有 Windows 版本均受影响。
29.惠普公司150款打印机存在两个严重漏洞
安全研究⼈员揭露了影响惠普公司150款多功能打印机(MFP)的两个安全漏洞,攻击者可利⽤这些漏洞窃取敏感信息,并渗透进企业⽹络以发起其它攻击。
30.⿊客利⽤Log4Shell漏洞攻击⽐利时国防部
研究⼈员发现,攻击者利⽤Log4Shell漏洞发动强烈的⽹络攻击,导致⽐利时国防部的⼀些活动瘫痪,如造成邮件系统停机了数⽇。
2021年已经过去,未来各企业单位需吸取教训,避免发⽣⽹络攻击事件,对企业数据、信息系统造成威胁,应重视⽹络安全意识和⽹络安全⼈才培养。⾬笋教育将根据⽹信部门以及⽹络安全法相关规定,助⼒各⾏业提供⽹络安全意识、技能培训。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。