网安大事记 | 2021年度漏洞利用事件汇总

网络时代，万物互联，人们在享受数字生活带来的福利时，背后隐藏的安全漏洞也正时刻构成威胁，只要技术是一把双刃剑，漏洞就将伴随信息技术的不断发展，与之相对应的，一些网络黑客对漏洞的利用技术也在提升，攻击事件变得越发频繁。

网络安全公司 Check Point Research发布的调查报告指出，在刚刚过去的2021年，每周对针企业的网络攻击同比2020年增加了50%，尤其是年底爆发的核弹级Log4J 漏洞，每小时就有数百万次试图利用该漏洞的攻击发生。

通过对过去一年相关重大新闻事件的筛选，不难看出传统科技巨头仍然是漏洞利用的重点目标，这些企业掌握着最具有价值的数据信息，成为黑客眼中的“香饽饽”，但同时，随着新冠疫情的持续，医疗和远程教育渐长，对这些关乎社会民生领域系统的漏洞攻击也正快速增多。

现在，让我们回眸，盘点在2021年引发行业、乃至整个社会影响的30起代表性漏洞利用事件。

1.TikTok 漏洞暴露用户的个人资料数据和电话号码

2021年1月，网络安全研究人员披露了TikTok中现已修复的安全漏洞，该漏洞可能使攻击者能够建立该应用程序的用户及其关联电话号码的数据库，用于将来的恶意活动。

2.苹果警告：3个iOS的0day漏洞被爆出，可能被广泛利用

苹果发布了iOS、iPandOS和tvOS的更新以修复漏洞，但涉及的3个漏洞可能已经被广泛利用，能让攻击者提升权限实现远程操控。

3.未修补的WordPress插件代码注入漏洞影响5万个网站

一个安装在50,000多个站点上的WordPress插件——Contact Form 7 Style被发现存在安全漏洞，可能允许攻击者在受害网站上注入恶意JavaScript。

4.Telegram漏洞可能允许访问用户秘密聊天

Telegram被曝应用程序中存在一个漏洞，该漏洞可能会将用户的秘密消息，照片和视频暴露给远程攻击者。

5.微软企业电子邮件产品Exchange Server曝严重漏洞

3月3日，微软表示，一个被认为具有政府背景的黑客组织盯上了微软企业电子邮件产品Exchange Server。该组织利用的漏洞是网络安全公司Volexity Inc.于1月初发现的零日漏洞。微软方面称，这4个漏洞已被修复。

6.研究人员发现插件中的零日漏洞，可接管WordPress网站

Wordfence团队研究人员3月10日表示，在The Plus Addons for Elementor WordPress插件中发现了一个零日漏洞漏洞，可以利用该漏洞获得网站管理权并接管网站。研究人员警告，该零日漏洞已在野利用。

7.微信被曝高危0day漏洞

4月16日，微信PC版客户端被曝存在一个高危等级的在野0day漏洞。黑客只需要通过微信发送一个特制Web链接，用户一旦点击链接，微信PC(Windows)版进程wechatweb.exe便会加载shellcode执行，整个过程无文件落地，无新进程产生。。

8.Facebook被爆新漏洞：可收集用户的电子邮件信息

4月初，黑客公开放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏，但表示不会通知在该漏洞中受到影响的用户。

9.专家发现苹果AirDrop中的一个漏洞，可能会泄露用户的个人信息

4月底，来自达姆施塔特工业大学安全移动网络实验室（SEEMOO）和密码学与隐私工程小组（ENCRYPTO）的一个研究小组仔细研究了Apple AirDrop，发现了一个严重的隐私泄露问题，可能会暴露用户的联系信息，如电子邮件地址和电话号码。

10.Nvidia发出警告：GPU驱动程序和vGPU软件存在严重的安全漏洞

Nvidia已经披露了Nvidia图形处理单元（GPU）显示驱动程序中的一组安全漏洞，这可能使游戏玩家和其他人遭受特权升级攻击、任意代码执行、拒绝服务（DoS）和信息泄露。

11.高通芯片漏洞正在影响全球约30％移动手机

5月8日，高通5G 调制解调器数据服务中的一个漏洞可能允许移动黑客通过向手机的调制解调器注入恶意代码来远程攻击安卓用户，获得执行代码的能力，访问移动用户的通话记录和短信，并窃听电话。

12.因黑客攻击，爱尔兰医疗系统的计算机系统陷入瘫痪

5月14日，爱尔兰医疗服务部门遭遇了严重的勒索攻击，导致其计算机系统不得不关闭。戴尔发布安全公告，称修补了一个存在长达12年的驱动程序漏洞。该漏洞预估影响上亿台戴尔设备。从台式机到最新的Alienware和笔记本电脑，大约380种型号的设备受到了影响。

13.严重的Windows HTTP漏洞影响WinRM服务器

Windows IIS 服务器的 HTTP 协议堆栈中存在一个可攻击的漏洞，该漏洞还可用于攻击未修补的 Windows 10 和公开暴露 WinRM（Windows 远程管理）服务的服务器系统。

14.苹果修复了2个被利用来攻击旧版iPhone的WebKit漏洞

苹果公司发布了针对旧款iPhone和iPad的带外iOS更新，并警告说，攻击者正在积极利用WebKit中的两个漏洞。

15.专家发现能够绕过Windows Hello功能的漏洞，可登录运行Windows 10的电脑

CyberArk Labs 的安全研究人员发现了一个安全绕过漏洞，该漏洞编号为CVE-2021-34466，影响 Windows Hello 面部身份验证过程。攻击者可以利用该漏洞登录运行 Windows 10 操作系统的系统。

16.飞利浦Vue PACS医学成像系统存在严重缺陷

根据披露，飞利浦 Vue PACS 医学成像系统中的一些漏洞可能被攻击者利用来控制受影响的系统，比如查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件等。

17.谷歌：四个0day漏洞被积极利用，领英已被攻击

谷歌安全人员分享了4个新的0day漏洞的信息。并且，谷歌还透露，与俄罗斯有关的APT组织正在利用其中的 Safari 零日漏洞攻击 LinkedIn 用户。

18.长达16年的安全漏洞影响了数百万台惠普、三星、施乐打印机

在HP、Xerox和 Samsung打印机驱动程序中发现的一个存在16年的安全漏洞，允许攻击者使用易受攻击的驱动程序软件获得系统管理员权限。

19.微软本地管理程序Hyper-V曝出存在9.9分高危漏洞

7月28日，微软本地管理程序Hyper-V曝出存在9.9分（满分10分）的安全漏洞，可能导致主机DDoS攻击和RCE攻击。Hyper-V用于在Windows系统和Azure云计算环境中创建虚拟机。

20.微软对其云计算数据库漏洞发出警告

8月26日，微软对其数以千计的云计算客户发出警告，攻击者可能允许读取、改变甚至删除他们的主数据库。这些客户中包括一些全球最大的公司。该漏洞存在于微软 Azure 的旗舰产品 Cosmos 数据库。

21.德国医院遭到勒索软件攻击，患者死亡

9月初，黑客利用了思杰ADC CVE-2019-19781漏洞对医院发动勒索攻击，医院无法进行已安排的门诊治疗和急诊护理，导致一名病情危重的患者耽误了治疗并死亡。

22.惠普游戏本曝内核级漏洞，影响全球数百万台计算机

HP OMEN 驱动程序软件中存在一个严重漏洞，该漏洞影响全球数百万台游戏计算机。该漏洞被命名为CVE-2021-3437（CVSS 评分：7.8），可能允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式，从而进行禁用安全产品、覆盖系统组件，甚至破坏操作系统的操作。

23.海康威视摄像头存在远程代码执行漏洞

一个被跟踪为 CVE-2021-36260 的关键漏洞影响了 70 多个海康威视设备模型，并且可能允许攻击者接管它们。该漏洞是海康威视 IP 摄像机/NVR 固件中的一个未经身份验证的远程代码执行 (RCE) 漏洞。

24. 数字交易平台OpenSeaNFT惊现漏洞，黑客可窃取加密货币

安全研究人员发现，数字交易平台OpenSeaNFT存在漏洞，攻击者可以引诱用户点击恶意的NFT艺术品，以此获得权限，并清空他们账户的加密货币。

25.Wi-Fi安全黑洞：70%的家庭WiFi网络可被快速破解

10月，Cyber Ark的安全研究人员Ido Hoorvitch成功破解了以色列特拉维夫5000个WiFi网络样本中的70%，此测试表明家庭WiFi网络安全的形势极为严峻。

26.英特尔曝出多款处理器存在高危漏洞

英特尔公布了三个影响范围广泛的处理器高危漏洞，能够允许攻击者和恶意软件在设备系统上获得增强权限。

27.联发科曝“窃听漏洞”，影响全球37%的智能设备

联发科芯片被曝出在AI 和音频处理组件中存在安全漏洞，该漏洞可导致用户不知情的情况下“被大规模窃听”。全球约37%的智能手机和物联网设备都使用了联发科的芯片。

28.思科Talos发现一个高危提权漏洞，所有Windows版本均受影响

计算机安全组织 Cisco Talos 发现了一个新的提权漏洞，该漏洞存在Windows安装程序中，包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。

29.惠普公司150款打印机存在两个严重漏洞

安全研究人员揭露了影响惠普公司150款多功能打印机（MFP）的两个安全漏洞，攻击者可利用这些漏洞窃取敏感信息，并渗透进企业网络以发起其它攻击。

30.黑客利用Log4Shell漏洞攻击比利时国防部

研究人员发现，攻击者利用Log4Shell漏洞发动强烈的网络攻击，导致比利时国防部的一些活动瘫痪，如造成邮件系统停机了数日。

2021年已经过去，未来各企业单位需吸取教训，避免发生网络攻击事件，对企业数据、信息系统造成威胁，应重视网络安全意识和网络安全人才培养。雨笋教育将根据网信部门以及网络安全法相关规定，助力各行业提供网络安全意识、技能培训。

来源：FreeBuf