資安威脅典範正在改變

就在情人節前夕，一件資安風暴，席捲了所有WordPress網站。WordPress官網在今年2月1日釋出4.7.2新版本，當時只說這次修補了3個漏洞，隔了幾天，WordPress官方才透露，還額外修補了一個權限擴張漏洞。公開此事，不到10天，20組駭客爭相鎖定這個漏洞出擊，竟然攻陷了155個WordPress網站，震驚網路圈。

這個漏洞可以讓攻擊者用HTTP請求繞過網站認證系統，輕易取得修改網站內容的編輯者權限，因為駭客很容易就可以利用自動化工具來入侵網站竄改內容，WordPress網站成了駭客眼中完全不設防的肥羊。資安公司還觀察到駭客們爭奪地盤的情況，有些網站往往一天內會被不同駭客輪流入侵進駐。資安業者Wordfence甚至坦言，這是WordPress有史以來最糟糕的漏洞之一。

之所以WordPress一開始不明講，就是想爭取更多時間，讓網站主及時升級到新版本，孰料，許多網站儘管都用這個熱門架站平臺來建置，卻自己關閉了「自動更新」功能，也就沒有升級到最新版本，因而讓駭客有機可趁。

鎖定單一類型產品、利用自動化攻擊發動無差別攻擊，這些手法聽起來是不是很熟悉？只差在目前還沒聽到這些WordPress網站被「勒索」。因為這正和今年1月暴增的「勒索攻擊」（Ransom Attack）手法非常相似。駭客會先大規模入侵後再開始勒索。

今年初，4萬個MongoDB遭入侵，刪除資料後勒索、5千多臺Elasticsearch主機也遭駭淪陷，還有上百家公司的Hadoop大數據分析叢集資料全毀，甚至連資安公司都有521TB的資料遭刪除。其他受害產品還有CouchDB、Cassandra資料庫系統。春節後臺灣剛發生的券商集體遭DDoS攻擊勒索也是類似的攻擊模式。駭客利用DDoS攻擊服務或自動化攻擊，對任意券商發動攻擊，進行勒索，雖然金額不高，但不論券商規模大小，臺灣近四分之一的券商，多達19家券商遭勒索，最後則有13家券商實際遭到攻擊。所幸，在預告的第二波攻擊日2月13日並沒有傳出災情，透露出駭客可能轉移對象的訊息。

但企業仍不可掉以輕心，因為從這幾波攻擊事件來看，透露出資安威脅典範的改變（典範雖多用於好事，但威脅型態的變革已經大到足以稱之為典範轉移）。攻擊目的從報復轉向金錢獲利、威脅手法從竊取資料變成勒索變現、攻擊目標從鎖定特定對象轉變成無差別的盲目攻擊、從過去得派高手入侵到現在肯付租金，人人都能發動攻擊，自動化工具和肉票IP都有懶人包，還上網便宜兜售，這些都反映出資安威脅典範式的改變開始出現。資訊長們必須先意識到這個改變，進一步重新檢視企業的資安戰略和思維，才能因應全新資安威脅典範的來襲。