資安事件與漏洞
Capital One、Equifax、Log4Shell、Heartbleed、XZ——將公開的入侵事件與漏洞拆解為成因、影響、初步應變與防範,萃取至今仍適用的教訓。
MOVEit 大規模資料外洩(2023)—— SQL 注入零時差漏洞波及 2,700 多家組織的原因與防禦
入口是面向網際網路公開的檔案傳輸產品 MOVEit Transfer 的 SQL 注入零時差漏洞(CVE-2023-34362)。攻擊者植入 Web shell(LEMURLOOT),從後端資料庫批量竊取資料,致 2,700 多家組織、約 9,330 萬人的資料外洩。許多受害者是因為委外廠商、合作方使用了 MOVEit 而被間接牽連。在你的環境中,可透過 KEV 即時修補、最小化暴露面、Web↔DB 的最小權限與隔離、委外廠商盤點與資料最小化來防範。
Capital One 資料外洩事件(2019)— SSRF 如何導致 1 億人資訊外洩及防禦之道
入口只是一個 SSRF。攻擊由此連鎖:中繼資料服務端點 → 權限過大的 IAM 臨時憑證 → S3 整體複製,最終約 1 億 600 萬人資訊外洩。每一跳本可被攔下。在你的環境中,用 IMDSv2、IAM 最小權限和出站目標白名單來杜絕重演。
Codecov 竄改事件(2021)——CI 中『被信任的工具』被劫持導致機密資訊外洩的原因與防禦
根源在於『在 CI 中信任並執行的工具(curl|bash 的 Bash Uploader)在上游被竄改』。由於自己的程式碼毫髮無損,約兩個月都沒能察覺,CI 的機密資訊因此外洩。偵測靠的是總和檢查碼比對。在你的 CI 中,可用取得物的完整性檢核、機密的最小權限、輪替、egress 監控來防止重演。
Equifax 資訊外洩事件(2017)——未修補的 Apache Struts 導致 1.47 億人外洩的原因與防禦
原因是『把已經發布修復修補程式的已知 CVE(CVSS 10.0)沒有套用到公開系統上』。監控設備因憑證失效導致長達 76 天都沒察覺資料外帶,使損失擴大。在你的環境裡,要用資產盤點、修補 SLA、機器監控、偵測健全性來防止重演。
Heartbleed(CVE-2014-0160)——加密通訊的根基洩漏了記憶體的事件
OpenSSL 的記憶體越界讀取,可能洩漏私鑰乃至工作階段的事件。根源是回傳的記憶體比請求長度更多的實作錯誤。教訓是『按已外洩處理=重新簽發憑證、徹底更換金鑰與機密』,以及監控根基軟體、重視記憶體安全的價值。
Log4Shell(CVE-2021-44228)——讓全世界一夜之間為『不知道自己是否在用』的漏洞而戰慄的一天
Log4j 的漏洞(CVSS 10.0)。本質在於『經由間接相依(傳遞性相依),在不知不覺中正在使用』的恐怖。日誌輸出這一被動處理成了攻擊通道。SBOM 與相依套件的機器化監控、迅速修補、對後續 CVE 的追蹤,都是教訓所在。
XZ Utils 後門(CVE-2024-3094)——『信任本身』被瞄準的供應鏈事件
壓縮函式庫 xz 中被一名贏得信任的維護者植入了後門的供應鏈攻擊。在即將進入穩定版的前一刻,一名技術人員憑『慢』這一違和感把它攔下。被瞄準的不是程式碼,而是『人與信任』。教訓是:把相依套件最小化、固定版本、提高可重現性、追蹤違和感、支援維護者。