绿盟安全事件响应观察及远程代码执行漏洞

人和管理成为主要入侵突破口

安全需要人、技术、管理的全方位保障，然而人与管理由于其复杂性，常常成为入侵突破口。在 19 年处理的安全事件
中，弱口令事件占比 22%，钓鱼邮件相关事件占比 7%，配置不当事件占比 3%，与人和管理相关的事件合计占总数的 1/3，安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。
弱口令蠕虫病毒钓鱼邮件中间件
漏洞3% 配置不当僵尸网络 3% 7% 永恒之蓝业务逻辑
5% 2% web
入侵其他图 2.26 入侵方式分布图
除了应急事件外，在众多企业进行的攻防演练中，也不乏攻击方通过弱口令或钓鱼邮件打开缺口的例子。大部分企业在公网上由于网络资产数量庞大，部分运维人员为了便于记忆和管理，采用了大量弱口令或系统默认密码作为管理员口令，最终导致网站应用权限的丢失，甚至服务器权限的沦陷。例如部分企业为了方便员工使用，会将办公协同系统（OA）放置在公网上，攻击者常常利用人名作为用户名字典，弱口令（111111、123456 等）作为密码字典进行爆破，一旦攻击者成功猜测出某员工账号，企业的敏感信息将可能被攻击者掌握利用。
图 2.27 暴力破解截图
上图为一次应急响应排查中对某企业 OA系统弱口令探测扫描的结果 ,根据结果可以看出，
该系统中大量用户使用了默认口令或者是弱口令，攻击者进行简单的探测猜解，即可成功获取到内部员工账号口令，通过该系统可获取单位大量敏感信息。
在大量案例中我们发现，大部分企业内网环境中存在弱口令的情况更为普遍。由于企业内网环境无法从公网轻易访问，运维人员在部署某些服务和应用时，习惯采用简单密码或者默认口令作为管理员密码，一旦攻击者突破外网边界进入企业内网后，将会有大量弱口令应用及系统遭受攻击威胁。此外，由于时间原因和管理疏忽，部分老旧系统停止使用后未能及时下线，其中可能存在的安全漏洞易被攻击者利用后导致主机权限丢失。
图 2.28 某主机用户配置
上图为内网中某系统管理平台，该系统存在默认管理员账户 root，且默认密码也为 root，如果管理员不修改默认口令，极易被攻击者猜解利用。
除了弱口令以外，近两年通过钓鱼邮件对企业员工进行攻击的案例也屡见不鲜。攻击者通过伪造企业内部邮件，诱使收件人打开附件中的 Office 文档或者可执行程序，当员工下载并打开文档后，便会执行其中的恶意代码，并从远程下载新的恶意代码至本地运执行，部分恶意程序还会在内网中通过自动化扫描其他存在漏洞或者弱口令的主机进行横向感染。
图 2.29 某钓鱼邮件截图
上图为攻击者对企业内部员工群发的一次钓鱼邮件攻击。附件中包含攻击者精心构造的恶意程序，并以“年中考核奖“为标题吸引员工眼球。如果收件人安全意识薄弱，盲目点击附件文件，则极可能被攻击者利用控制。
综上问题可以看出，当前大多企业或多或少都存在安全管理疏忽或员工安全意识薄弱的问题。当攻击者无法通过传统技术手段对企业资产进行攻击时，人和管理上的漏洞往往更容易成为攻击者的突破口。

安全漏洞变化趋势

安全漏洞变化趋势
截至 2019 年 11 月 27 日，CNVD 收录的 2019 年 CVE漏洞数量为 11633 个，相比 2018 年有了明显的下降。但是在其收录的漏洞中，高危漏洞数量为 6549 个，相比 2018 年呈明显增长趋势。整个信息行业面临的安全威胁依旧严峻。
漏洞总数高危漏洞数
图 3.1 历年 CVE漏洞数量变化

高危漏洞公开数量增多

2019 年高风险漏洞公开数量明显增多，且与 2018 年相比，2019 高风险漏洞 PoC 公开数量也明显增多。这意味着，高危漏洞被利用的成本变低。恶意攻击者很容易获取到漏洞利用代码实施攻击，这将严重威胁到企业及个人的网络及信息安全。
2019 年年末，高危漏洞 PoC、EXP 的公开发布数量明显减少。这与国家互联网信息办公室 11 月 20 日向社会公开《网络安全威胁信息发布管理办法（征求意见稿）》有关，《办法》意见的出台，对威胁信息的发布进行了约束。政府单位、漏洞平台无论是在漏洞披露还是共享方面都变得谨慎，监管更加严格。仅 2019 年第四季度，绿盟科技就监控到 PoC 352 个，这充分反映出《办法》意见出台的必要性。
绿盟科技根据危害严重性及影响面，在此列出 2019 年值得关注的三个高危且 PoC 公开的漏洞。

微软远程桌面服务远程代码执行漏洞

北京时间 5 月 15 日，微软官方发布了 5 月安全更新补丁，此次更新共修复了 82 个漏洞，其中 Windows 操作系统远程桌面服务漏洞（CVE-2019-0708）威胁程度较高，攻击者可通过 RDP 协议向目标发送恶意构造请求，实现远程代码执行，甚至可利用此漏洞实现蠕虫式攻击。
北京时间 9 月 7 日凌晨，有开发者在 GitHub 上披露了 Windows 远程桌面服务远程代码执行漏洞 (CVE-2019-0708) 的 Metasploit 利用模块，可导致旧版本的 Windows（Windows 7 SP1 x64 与 Windows 2008 R2）无交互远程代码执行。随着工具的扩散，该漏洞有可能导致类似 WannaCry 蠕虫传播的情况。
图 3.2 CVE-2019-0708
经验证该 EXP已经可以成功利用，但目前无法实现精准的自动化攻击。他要求攻击者在进一步利用前，需要手动配置目标详细信息。如果未能正确配置参数信息，则可能导致目标主机蓝屏崩溃，目前已有黑客利用该漏洞进行大规模扫描的情况，可能导致存在漏洞的主机被批量攻击。
建议务必对企业资产进行漏洞排查，及时安装相应安全补丁或通过启用网络级认证（NLA）等缓解
措施以避免遭受攻击。同时，绿盟科技可提供该漏洞的检测防护能力。
绿盟云在线排查（点击“紧急漏洞”进入线上排查）： https://cloud.nsfocus.com/#/secwarning/secwarning_news 针对该漏洞的修复补丁及检测防护方案可参考以下链接； https://mp.weixin.qq.com/s/kFm36q2MycTR5zOOJwsiXw

及远程代码执行漏洞

Confluence 多被企业用户作为 Wiki平台，实现团队成员间的知识共享，可能存储大量内部敏感文件。若出现信息泄露、远程代码执行等漏洞，将造成严重影响。
从绿盟科技威胁情报中心（NTI）中可以查询到，在全球范围内对互联网开放 Confluence 服务的资产数量多达 32492 个，其中归属中国地区的资产数量为 7014 个。
2019 年 3 月 20 日，Confluence 官方发布了 SSRF 漏洞（CVE-2019-3395）及远程代码执行漏洞（CVE-2019-3396）的安全通告，攻击者利用漏洞可实现远程代码执行、服务器端请求伪造。此次通告的漏洞分别存在于 WebDAV及 Widget 连接器中。通告发布不久，针对此次通告漏洞的利用代码便在网络上迅速传播。
2018 年 6 月 18 日前发布的 Confluence Server 及 Data Center 均受此漏洞影响。此漏洞存在于 WebDAV插件中，攻击者可远程利用此漏洞使 Confluence 服务器或 Data Center 发送任意 HTTP 或 WebDAV请求，实现服务器端请求伪造（SSRF）。
官方已针对此漏洞发布 6.8.5、6.9.3 修复版本。
该漏洞为 server-side template injection 服务器端模板注入漏洞，存在于 Confluence Server 及 Data Center 的 Widget Connector 插件中。攻击者成功利用此漏洞可实现目录穿越及远程代码执行。
官方已针对此漏洞发布 6.12.3、6.13.3、6.14.2 修复版本。
漏洞利用成功截图如下：
图 3.3 漏洞利用成功截图具体检测及防护方案，可参考以下链接：
同时，使用 Confluence 的用户也可关注官方发布的安全通告，及时掌握 Confluence 相关安全漏洞信息，在不影响业务正常使用的前提下，及时更新版本。
官方安全通告链接如下

代码执行漏洞

WinRAR作为最受欢迎的解压缩软件，在全世界有超过 5 亿的用户，支持查看、创建、解压缩多种格式的文件。
2019 年 2 月，有安全研究人员使用 WinAFL fuzzer 发现 WinRAR中存在逻辑漏洞，利用该漏洞可完全控制受害者主机。攻击者通过构造恶意的压缩文件，并以钓鱼邮件、网盘、论坛等方式诱导用户下载，当受害者使用 WinRAR解压该恶意文件时，即可完成整个攻击过程。
该漏洞存在于 WinRAR的 UNACEV2.dll库中，在 WinRAR解压 .ACE文件时，由于没有对文件名进行充分过滤，导致可通过目录穿越，将恶意文件写入任意目录，为攻击者增加后门植入方式。该漏洞在
WinRAR中已存在超过 19 年，目前 WinRAR已经放弃对 ACE文件格式的维护支持。同时，经排查发现多个其他压缩工具也集成了 UNACEV2.dll库，同样也会受到此漏洞影响。
漏洞排查及防护方案参考链接：

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 20274.2-2008 信息安全技术信息系统安全保障评估框架第2部分：技术保障