跟时间赛跑——1Day、NDay漏洞防护

 防护网络安全事件是一个跟黑客赛跑的过程只要抢占先机,在攻击者利用漏洞攻击前修复漏洞,就可以有效防止此类攻击。而抢占先机的前提就是关注厂商发布的漏洞和事件预警,在第一时间做好防范工作。

一个典型利用1Day漏洞进行大规模网络攻击的事件

2018年1月,互联网上出现利用WebLogic-WLS组件远程命令执行漏洞进行挖矿的事件,短时间内大量爆发。短短一月内绿盟科技应急响应团队持续接到来自金融、卫生、教育等多个行业客户的安全事件反馈,发现多台不同版本WebLogic主机均被植入了相同的恶意程序,该程序会消耗大量的主机CPU资源。

这是一个典型的利用1Day漏洞进行大规模网络攻击的事件。处于利益考虑,黑产攻击者往往会选择成本最低的攻击方式, 对于已经通过各种途径曝光的1Day漏洞,他们往往能迅速发开出各类自动化利用工具,在全网扫描抢占肉鸡资源。

 

“亡羊而补牢,未为迟也”–NDay漏洞的利用

 在实际网络安全环境中黑客手中的“武器库”不仅仅会有1Day漏洞,往往还集成了很多早已披露的NDay漏洞的利用手段,这些漏洞利用代码虽然不再像0Day时那样可以一击致命,却可以在黑客攻城略地时大规模利用。《绿盟科技安全事件响应观察报告》指出,由历史漏洞造成的安全事件占比高达 34%,不容忽视。

 

 

比如17年的MS17-010、S2-045至今仍在发挥着“余热”。

 

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,影响了包括中国在内的近百个国家,国内受影响单位不乏政府、知名高校、企业,可谓是一场灾难。时隔一年,WannaCry事件造成的阴影正在逐渐褪去,然而MS17-010漏洞却并未退隐江湖。在绿盟科技2018年处理的安全事件中,就有多起与MS17-010有关,WannaMine、PowerGhost、Satan等恶意软件均利用了MS17-010进行传播。

 

NDay漏洞利用攻击事件往往是由于用户缺乏安全意识,没有更新或者安装官方的补丁,导致黑产从业者可以轻松地通过网上公开的漏洞利用代码进行攻击,攻击成本较低,造成危害较大。对于攻击者而言,只要一定比例的用户未修复漏洞,那么这种利用漏洞进行攻击就是有收益的。

 

“亡羊而补牢,未为迟也”,及时修复陈旧漏洞,可以极大的降低网络安全风险。

 

弱口令仍是安全事件的“高发地”

《绿盟科技安全事件响应观察报告》指出,利用弱口令进行攻击的安全事件占2018年处理事件总数的33%, 是安全事件高发的重要原因之一。

针对RDP、SSH、Redis、Memcached、Tomcat等服务的攻击类型中,弱口令尤为突出,攻击行业覆盖运营商、企业、政府、金融、能源等多种行业类型,攻击类型包括蠕虫、暴力破解、人工渗透等多种手段。在弱口令的攻击中,RDP暴力破解成为主要的入侵手段。

 

安全处置建议

在安全领域,最为基础的安全管理防护措施发挥着最为重要的作用,绝大多数的安全事件可以通过基础的控制措施进行防护:

  • 有效和更新的管理制度和流程机制
  • 有效的网络边界隔离与防护
  • 定期/不定期的安全评估
  • 严格的权限账户管控
  • 配置操作规范和安全审计
  • 安全漏洞的发现与修补
  • 桌面终端安全防护
  • 持续的内部人员安全培训
  • 第三方服务及供应链的安全管控
  • 安全应急预案编制与应急演练

 

几个应急过程中常见的新发漏洞:

WebLogic反序列化漏洞(CVE-2018-2628)
影响范围 Oracle WebLogicServer 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
类型 远程代码执行、反序列化
危害 攻击者可以在未授权的情况下通过T3协议对存在漏洞的 WebLogic 组件进行远程攻击,并可获取目标系统所有权限。

 

Struts2-057 远程命令执行(CVE-2018-11776)
影响范围 Struts 2.3 – Struts 2.3.34

Struts 2.5 – Struts 2.5.16

类型 远程命令执行
危害 Struts2在XML配置中如果namespace值未设置且(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。

 

Drupal远程命令执行(CVE-2018-7600)
影响范围 Drupal 6.x、Drupal 7.x、Drupal 8.x均受此漏洞影响
类型 远程代码执行
危害 攻击者在”可渲染数组”中插入构造恶意代码,恶意代码通过POST方法将含有恶意代码的”可渲染数组”提交到drupal系统中。页面渲染流程中,”可渲染数组”中携带的恶意代码,最终调用方法将”可渲染数组”中的恶意代码取出,传入call_user_func函数,导致恶意代码被执行。

 

 

几个应急过程中常见的NDay漏洞:

 

MS17-010永恒之蓝
影响范围 Windows Vista,Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows 8.1,Windows Server 2012 和 Windows Server 2012 R2,Windows 10,Windows Server 2016
类型 远程代码执行
危害 攻击者向 Windows SMBv1 服务器发送特殊设计的消息,最严重的漏洞可能允许远程执行代码。

 

Struts2-045 远程命令执行(CVE-2017-5638)
影响范围 Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

类型 远程命令执行
危害 Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。

 

绿盟科技安全事件响应观察报告下载

绿盟科技安全事件响应观察报告

Spread the word. Share this post!

Meet The Author

Leave Comment