就在情人節前夕,一件資安風暴,席捲了所有WordPress網站。WordPress官網在今年2月1日釋出4.7.2新版本,當時只說這次修補了3個漏洞,隔了幾天,WordPress官方才透露,還額外修補了一個權限擴張漏洞。公開此事,不到10天,20組駭客爭相鎖定這個漏洞出擊,竟然攻陷了155個WordPress網站,震驚網路圈。
這個漏洞可以讓攻擊者用HTTP請求繞過網站認證系統,輕易取得修改網站內容的編輯者權限,因為駭客很容易就可以利用自動化工具來入侵網站竄改內容,WordPress網站成了駭客眼中完全不設防的肥羊。資安公司還觀察到駭客們爭奪地盤的情況,有些網站往往一天內會被不同駭客輪流入侵進駐。資安業者Wordfence甚至坦言,這是WordPress有史以來最糟糕的漏洞之一。
之所以WordPress一開始不明講,就是想爭取更多時間,讓網站主及時升級到新版本,孰料,許多網站儘管都用這個熱門架站平臺來建置,卻自己關閉了「自動更新」功能,也就沒有升級到最新版本,因而讓駭客有機可趁。
鎖定單一類型產品、利用自動化攻擊發動無差別攻擊,這些手法聽起來是不是很熟悉?只差在目前還沒聽到這些WordPress網站被「勒索」。因為這正和今年1月暴增的「勒索攻擊」(Ransom Attack)手法非常相似。駭客會先大規模入侵後再開始勒索。
今年初,4萬個MongoDB遭入侵,刪除資料後勒索、5千多臺Elasticsearch主機也遭駭淪陷,還有上百家公司的Hadoop大數據分析叢集資料全毀,甚至連資安公司都有521TB的資料遭刪除。其他受害產品還有CouchDB、Cassandra資料庫系統。春節後臺灣剛發生的券商集體遭DDoS攻擊勒索也是類似的攻擊模式。駭客利用DDoS攻擊服務或自動化攻擊,對任意券商發動攻擊,進行勒索,雖然金額不高,但不論券商規模大小,臺灣近四分之一的券商,多達19家券商遭勒索,最後則有13家券商實際遭到攻擊。所幸,在預告的第二波攻擊日2月13日並沒有傳出災情,透露出駭客可能轉移對象的訊息。
但企業仍不可掉以輕心,因為從這幾波攻擊事件來看,透露出資安威脅典範的改變(典範雖多用於好事,但威脅型態的變革已經大到足以稱之為典範轉移)。攻擊目的從報復轉向金錢獲利、威脅手法從竊取資料變成勒索變現、攻擊目標從鎖定特定對象轉變成無差別的盲目攻擊、從過去得派高手入侵到現在肯付租金,人人都能發動攻擊,自動化工具和肉票IP都有懶人包,還上網便宜兜售,這些都反映出資安威脅典範式的改變開始出現。資訊長們必須先意識到這個改變,進一步重新檢視企業的資安戰略和思維,才能因應全新資安威脅典範的來襲。