2021十大网络安全热点——漏洞篇 - 网安 - 专业的网络安全产业、社区、知识平台

漏洞事件

1、Accellion零日漏洞攻击：及时更新并安装补丁

2021年2月，美国、加拿大、荷兰及其他国家和地区的多个组织遭到严重的数据泄露，原因在于使用的FTA（File Transfer Appliance）文件传输服务存在漏洞。其中，美国零售巨头克罗格是最大的受害者之一，旗下药房及诊所的员工及服务客户数据被曝光。另外，能源巨头壳牌公司、众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行等均在受害者之列。据了解，Accellion FTA是美国Accellion公司开发的一个文件传输程序，能够帮助企业使用一个本地或托管的私有云传输大的敏感的文件。

2、Microsoft在Exchange中修补了四个零日漏洞

2021年3月2日，微软紧急发布了Microsoft Exchange中多个高危漏洞的风险通告，其中修复了四个已在野外被积极利用的零日漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。据悉，全球已有数十万台Exchange服务器被攻击，大量企业、政府部门被感染，超过6万家组织受影响。攻击者可以在目标系统中获取敏感信息、写入任意文件、执行恶意代码等。

3、F5 BIG-IP/BIG-IQ 多个严重高危漏洞

2021年3月10日，F5官方发布安全通告，修复了未授权远程代码执行漏洞在内的多个严重高危漏洞。其中包括：CVE-2021-22986 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞；CVE-2021-22987 BIG-IP TMUI 后台远程代码执行漏洞；CVE-2021-22988 BIG-IP TMUI 后台远程代码执行漏洞；CVE-2021-22989 Advanced WAF/ASM TMUI 后台远程代码执行漏洞；CVE-2021-22990 Advanced WAF/ASM TMUI 后台远程代码执行漏洞。

4、Chrome远程代码执行0Day 、微信PC版0Day

2021年4月13日,国外安全研究员发布了关于Google Chrome远程代码执行0Day漏洞的PoC详情。Google官方同步发布了最新的Chrome安全通告，其中修复了pwn2own中攻破 Chrome 所使用的一个严重的安全漏洞（CVE-2021-21220），该漏洞影响x64架构的Chrome，攻击者利用此漏洞，构造一个恶意的web页面，用户访问该页面时，会造成远程代码执行。大量采用Chrome内核的浏览器同样也会受此漏洞影响，如微软的Edge浏览器，影响版本：Chrome: <=89.0.4389.114，可通过在Chrome浏览器中输入chrome://version查看版本等信息。受此影响，微信 < 3.2.1.141以下版本打开链接时都会调用内置Chrome浏览器，也会触发此漏洞，导致远程命令执行。

5、戴尔BIOS升级软件出现漏洞：可远程执行代码，影响上亿台电脑

5月，安全研究升级Eclypsium，新发现升级，戴尔的远程BIOS软件出现了一个漏洞，会导致攻击者劫持BIOS下载请求，并使用修改的进行文件。机构会吸收攻击可以控制系统的启动过程，破坏他人。

驱动漏洞存在于DBUtil 的档案中，被统称为CVE-2021-21551。其中4个漏洞则可被用于权限，剩下的1个存在被用于DoS攻击的风险。

收到的报告后，戴尔已经通过修复更新的方式将漏洞补上。根据他们的估计，2009年恢复大约有 380个型号的产品都受到了影响，如果不修复可能会发生数亿台电脑设备都继续提交在风险中。

6、runc符号链接挂载与容器逃逸漏洞

2021年5月31日，国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。在CVE-2021-30465 中，攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，并最终可能导致容器逃逸。

7、微软6月更新多个高危漏洞

2021年6月9日，微软官方发布漏洞安全补丁，共修复了50个针对微软产品的CVE漏洞。涉及Windows操作系统、NET Core、Visual Studio、Microsoft Defender、scripting、EngineServer for NFS、Windows MSHTML Platform、Microsoft SharePoint Server等相关组件。其中 5 个严重漏洞，45个高危漏洞。目前 6 个漏洞已发现在野利用。

8、Microsoft Exchange远程代码执行漏洞POC公开

2021年8月5日，安全研究员公开了CVE-2021-34473 Microsoft Exchange Server 远程代码执行漏洞分析及其相关POC。攻击者利用该漏洞可绕过相关权限验证，进而配合其他漏洞可执行任意代码，控制Microsoft Exchange Server。

9、VMware vCenter Server任意文件上传漏洞

2021年9月22日，VMware官方发布安全公告，披露了包括 CVE-2021-22005 VMware vCenter Server任意文件上传漏洞在内的多个中高危严重漏洞。在CVE-2021-22005中，攻击者可构造恶意请求，通过vCenter中的Analytics服务，可上传恶意文件，从而造成远程代码执行漏洞。

10、Log4Shell：震惊业界的Log4j2漏洞

Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务系统开发，用来记录日志信息。12月9日，Log4j2 被爆出现核弹级利用成本极低危害极大的漏洞，黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用，据统计，该漏洞影响6万+流行开源软件，影响70%以上的企业线上业务系统！软件在官方发布漏洞修复补丁后依旧被黑客多次绕过，几乎所有的互联网大厂都在通宵加急处理漏洞，避免造成黑客攻击事件，没想到道高一尺魔高一丈，刚修复完又马上被黑客绕过。