研究人员|2021年还有哪些吸引眼球的网络安全事件_冠状病毒|抗原|美国|公司|抗原

近日，有外媒刊文称，2020年其读者在网络安全方面的关注多为居家办公安全、以疫情为主题的事件等，但在2021年发生了明显的转变。随着2021年接近尾声，Log4Shell、科洛尼尔公司、kaseya、ProxyLogon/ProxyShell、太阳风等大事件占据了今年新闻头条，但从流量来看，读者还对以下5项内容很感兴趣：

数据泄露
主要零日漏洞
代码库恶意软件
勒索软件创新
游戏攻击

文章插图

(图片来源于外媒)
数据泄露(1) 益百利数据曝光
4月，罗切斯特理工学院大二学生比尔·德米尔卡皮(Bill Demirkapi)发现，几乎每个美国人的信用评分都通过益百利(Experian)信贷局使用的API工具暴露出来。该工具称为Experian Connect API，允许贷款人自动执行FICO分数查询。德米尔卡皮说，他能够构建一个命令行工具，让他自动查找几乎所有人的信用评分，即使在出生日期字段中输入了全零。但益百利并不是唯一一个因数据不安全而吸引读者的家喻户晓的名字：LinkedIn(领英)数据在暗网上出售是今年另一个非常热门的话题。
(2) LinkedIn 数据抓取
在4月份的一次数据抓取事件中，5亿LinkedIn会员受到影响，之后，该事件在6月份再次发生。一个自称为“GOD User TomLiner.”的黑客在RaidForums上发布了一条包含7亿条LinkedIn待售记录的帖子。该广告包含100万条记录样本作为“证据”。Privacy Sharks检查了免费样本，发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么。但据 LinkedIn称，没有发生任何网络泄露事件。
研究人员表示，即便如此，安全后果也很严重，可以导致暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼尝试、身份盗窃等。
主要零日漏洞从 Log4Shell 开始。
(1) Log4Shell
Log4Shell漏洞是无处不在的Java日志库Apache Log4j中的一个容易被利用的缺陷，它可能允许未经身份验证的远程代码执行 (RCE) 和完整的服务器接管——并且它仍然在野外被积极利用。
【研究人员|2021年还有哪些吸引眼球的网络安全事件】该缺陷 (CVE-2021-44228) 首先出现在迎合世界上最受欢迎的游戏Minecraft用户的网站上。Apache匆忙发布补丁，但在一两天内，由于威胁行为者试图利用新漏洞，攻击变得越发猖獗。
(2) NSO Group
9月，一个名为ForcedEntry be的零点击零日漏洞被发现，它影响了苹果的所有产品：iPhone、iPad、Mac 和手表。它被NSO Group用来安装臭名昭著的Pegasus间谍软件。
苹果推出了紧急修复程序，但 Citizen Lab已经观察到NSO Group的目标是前所未见的零点击漏洞。ForcedEntry漏洞尤其引人注目，因为它成功部署在最新的iOS版本14.4和14.6上，突破了苹果新的BlastDoor沙箱功能。
(3) Palo Alto
另一个引起广大读者兴趣的零日消息是，Randori的研究人员开发了一个有效的漏洞，通过关键漏洞CVE 2021-3064，在Palo Alto Networks的Global Protect防火墙上获得远程代码执行(RCE)。
Randori研究人员表示，如果攻击者成功利用该弱点，他们可以在目标系统上获得shell，访问敏感配置数据，提取凭据等;之后，攻击者可以跨越目标组织。他们说：“一旦攻击者控制了防火墙，他们就可以看到内部网络，并可以继续横向移动。”
Palo Alto Networks在披露当天修补了该漏洞。
(4) 谷歌
今年3月，谷歌匆忙修复其Chrome浏览器中的一个受到主动攻击的漏洞。如果被利用，该漏洞可能允许对受影响系统进行远程代码执行和拒绝服务攻击。
该缺陷是一个释放后使用漏洞，特别存在于Blink中，Blink是作为 Chromium项目的一部分开发的Chrome浏览器引擎。浏览器引擎将 HTML文档和其他网页资源转换为最终用户可以查看的可视表现形式。