2021年度漏洞利用事件汇总

通过对过去一年相关重大新闻事件的筛选，不难看出传统科技巨头仍然是漏洞利用的重点目标，这些企业掌握着最具有价值的数据信息，成为黑客眼中的“香饽饽”，但同时，随着新冠疫情的持续，医疗和远程教育渐长，对这些关乎社会民生领域系统的漏洞攻击也正快速增多。
一起回眸21年各个月份漏洞利用事件

1月

1.TikTok 漏洞暴露用户的个人资料数据和电话号码
网络安全研究人员披露了TikTok中现已修复的安全漏洞，该漏洞可能使攻击者能够建立该应用程序的用户及其关联电话号码的数据库，用于将来的恶意活动。

2.苹果警告：3个iOS的0day漏洞被爆出，可能被广泛利用
苹果发布了iOS、iPandOS和tvOS的更新以修复漏洞，但涉及的3个漏洞可能已经被广泛利用，能让攻击者提升权限实现远程操控。

2月

1.未修补的WordPress插件代码注入漏洞影响5万个网站
一个安装在50,000多个站点上的WordPress插件——Contact Form 7 Style被发现存在安全漏洞，可能允许攻击者在受害网站上注入恶意JavaScript。

3月

1.微软企业电子邮件产品Exchange Server曝严重漏洞
微软表示，一个被认为具有政府背景的黑客组织盯上了微软企业电子邮件产品Exchange Server。该组织利用的漏洞是网络安全公司Volexity Inc.于1月初发现的零日漏洞。微软方面称，这4个漏洞已被修复。

2.研究人员发现插件中的零日漏洞，可接管WordPress网站
Wordfence团队研究人员3月10日表示，在The Plus Addons for Elementor WordPress插件中发现了一个零日漏洞漏洞，可以利用该漏洞获得网站管理权并接管网站。研究人员警告，该零日漏洞已在野利用。

4月

1.微信被曝高危0day漏洞
微信PC版客户端被曝存在一个高危等级的在野0day漏洞。黑客只需要通过微信发送一个特制Web链接，用户一旦点击链接，微信PC(Windows)版进程wechatweb.exe便会加载shellcode执行，整个过程无文件落地，无新进程产生。

2.Facebook被爆新漏洞：可收集用户的电子邮件信息
4月初，黑客公开放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏，但表示不会通知在该漏洞中受到影响的用户。

5月

1.高通芯片漏洞正在影响全球约30％移动手机
5月8日，高通5G 调制解调器数据服务中的一个漏洞可能允许移动黑客通过向手机的调制解调器注入恶意代码来远程攻击安卓用户，获得执行代码的能力，访问移动用户的通话记录和短信，并窃听电话。

2.因黑客攻击，爱尔兰医疗系统的计算机系统陷入瘫痪
5月14日，爱尔兰医疗服务部门遭遇了严重的勒索攻击，导致其计算机系统不得不关闭。戴尔发布安全公告，称修补了一个存在长达12年的驱动程序漏洞。该漏洞预估影响上亿台戴尔设备。从台式机到最新的Alienware和笔记本电脑，大约380种型号的设备受到了影响。

6月

1.苹果修复了2个被利用来攻击旧版iPhone的WebKit漏洞
苹果公司发布了针对旧款iPhone和iPad的带外iOS更新，并警告说，攻击者正在积极利用WebKit中的两个漏洞。

7月

1.专家发现能够绕过Windows Hello功能的漏洞，可登录运行Windows 10的电脑
CyberArk Labs 的安全研究人员发现了一个安全绕过漏洞，该漏洞编号为CVE-2021-34466，影响 Windows Hello 面部身份验证过程。攻击者可以利用该漏洞登录运行 Windows 10 操作系统的系统。

2谷歌：四个0day漏洞被积极利用，领英已被攻击
谷歌安全人员分享了4个新的0day漏洞的信息。并且，谷歌还透露，与俄罗斯有关的APT组织正在利用其中的 Safari 零日漏洞攻击 LinkedIn 用户。

8月

1.软对其云计算数据库漏洞发出警告
26日，微软对其数以千计的云计算客户发出警告，攻击者可能允许读取、改变甚至删除他们的主数据库。这些客户中包括一些全球最大的公司。该漏洞存在于微软 Azure 的旗舰产品 Cosmos 数据库。

9月

1.德国医院遭到勒索软件攻击，患者死亡
9月初，黑客利用了思杰ADC CVE-2019-19781漏洞对医院发动勒索攻击，医院无法进行已安排的门诊治疗和急诊护理，导致一名病情危重的患者耽误了治疗并死亡。

2.惠普游戏本曝内核级漏洞，影响全球数百万台计算机
HP OMEN 驱动程序软件中存在一个严重漏洞，该漏洞影响全球数百万台游戏计算机。该漏洞被命名为CVE-2021-3437（CVSS 评分：7.8），可能允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式，从而进行禁用安全产品、覆盖系统组件，甚至破坏操作系统的操作。

10月

1.字交易平台OpenSeaNFT惊现漏洞，黑客可窃取加密货币
安全研究人员发现，数字交易平台OpenSeaNFT存在漏洞，攻击者可以引诱用户点击恶意的NFT艺术品，以此获得权限，并清空他们账户的加密货币。

2.Wi-Fi安全黑洞：70%的家庭WiFi网络可被快速破解
Cyber Ark的安全研究人员Ido Hoorvitch成功破解了以色列特拉维夫5000个WiFi网络样本中的70%，此测试表明家庭WiFi网络安全的形势极为严峻。

11月

1.特尔曝出多款处理器存在高危漏洞
英特尔公布了三个影响范围广泛的处理器高危漏洞，能够允许攻击者和恶意软件在设备系统上获得增强权限。

2.联发科曝“窃听漏洞”，影响全球37%的智能设备
联发科芯片被曝出在AI 和音频处理组件中存在安全漏洞，该漏洞可导致用户不知情的情况下“被大规模窃听”。全球约37%的智能手机和物联网设备都使用了联发科的芯片。

12月

1.公司150款打印机存在两个严重漏洞
安全研究人员揭露了影响惠普公司150款多功能打印机（MFP）的两个安全漏洞，攻击者可利用这些漏洞窃取敏感信息，并渗透进企业网络以发起其它攻击。

2.客利用Log4Shell漏洞攻击比利时国防部
研究人员发现，攻击者利用Log4Shell漏洞发动强烈的网络攻击，导致比利时国防部的一些活动瘫痪，如造成邮件系统停机了数日。.

素材收集于网络