绿盟安全事件响应观察及远程代码执行漏洞
人和管理成为主要入侵突破口
安全需要人、技术、管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口。在 19 年处理的安全事件
中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当事件占比 3%, 与人和管理相关的事件合计占总数的 1/3,安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。
弱口令 蠕虫病毒 钓鱼邮件 中间件
漏洞3% 配置不当 僵尸网络 3% 7% 永恒之蓝 业务逻辑
5% 2% web
入侵 其他图 2.26 入侵方式分布图
除了应急事件外,在众多企业进行的攻防演练中,也不乏攻击方通过弱口令或钓鱼邮件打开缺口的 例子。大部分企业在公网上由于网络资产数量庞大,部分运维人员为了便于记忆和管理,采用了大量弱 口令或系统默认密码作为管理员口令,最终导致网站应用权限的丢失,甚至服务器权限的沦陷。例如部 分企业为了方便员工使用,会将办公协同系统(OA)放置在公网上,攻击者常常利用人名作为用户名字典, 弱口令(111111、123456 等)作为密码字典进行爆破,一旦攻击者成功猜测出某员工账号,企业的敏 感信息将可能被攻击者掌握利用。
图 2.27 暴力破解截图
上图为一次应急响应排查中对某企业 OA系统弱口令探测扫描的结果 ,根据结果可以看出,
该系统中大量用户使用了默认口令或者是弱口令,攻击者进行简单的探测猜解,即可成功获取到内 部员工账号口令,通过该系统可获取单位大量敏感信息。
在大量案例中我们发现,大部分企业内网环境中存在弱口令的情况更为普遍。由于企业内网环境无 法从公网轻易访问,运维人员在部署某些服务和应用时,习惯采用简单密码或者默认口令作为管理员密 码,一旦攻击者突破外网边界进入企业内网后,将会有大量弱口令应用及系统遭受攻击威胁。此外,由 于时间原因和管理疏忽,部分老旧系统停止使用后未能及时下线,其中可能存在的安全漏洞易被攻击者 利用后导致主机权限丢失。
图 2.28 某主机用户配置
上图为内网中某系统管理平台,该系统存在默认管理员账户 root,且默认密码也为 root,如果管理 员不修改默认口令,极易被攻击者猜解利用。
除了弱口令以外,近两年通过钓鱼邮件对企业员工进行攻击的案例也屡见不鲜。攻击者通过伪造企 业内部邮件,诱使收件人打开附件中的 Office 文档或者可执行程序,当员工下载并打开文档后,便会执 行其中的恶意代码,并从远程下载新的恶意代码至本地运执行,部分恶意程序还会在内网中通过自动化 扫描其他存在漏洞或者弱口令的主机进行横向感染。
图 2.29 某钓鱼邮件截图
上图为攻击者对企业内部员工群发的一次钓鱼邮件攻击。附件中包含攻击者精心构造的恶意程序, 并以“年中考核奖“为标题吸引员工眼球。如果收件人安全意识薄弱,盲目点击附件文件,则极可能 被攻击者利用控制。
综上问题可以看出,当前大多企业或多或少都存在安全管理疏忽或员工安全意识薄弱的问题。当攻 击者无法通过传统技术手段对企业资产进行攻击时,人和管理上的漏洞往往更容易成为攻击者的突破口。
安全漏洞变化趋势
安全漏洞变化趋势
截至 2019 年 11 月 27 日,CNVD 收录的 2019 年 CVE漏洞数量为 11633 个,相比 2018 年有了明 显的下降。但是在其收录的漏洞中,高危漏洞数量为 6549 个,相比 2018 年呈明显增长趋势。整个信 息行业面临的安全威胁依旧严峻。
漏洞总数 高危漏洞数
图 3.1 历年 CVE漏洞数量变化
高危漏洞公开数量增多
2019 年高风险漏洞公开数量明显增多,且与 2018 年相比,2019 高风险漏洞 PoC 公开数量也明显 增多。这意味着,高危漏洞被利用的成本变低。恶意攻击者很容易获取到漏洞利用代码实施攻击,这将 严重威胁到企业及个人的网络及信息安全。
2019 年年末,高危漏洞 PoC、EXP 的公开发布数量明显减少。这与国家互联网信息办公室 11 月 20 日向社会公开《网络安全威胁信息发布管理办法(征求意见稿)》有关,《办法》意见的出台,对 威胁信息的发布进行了约束。政府单位、漏洞平台无论是在漏洞披露还是共享方面都变得谨慎,监管更 加严格。仅 2019 年第四季度,绿盟科技就监控到 PoC 352 个,这充分反映出《办法》意见出台的必要性。
绿盟科技根据危害严重性及影响面,在此列出 2019 年值得关注的三个高危且 PoC 公开的漏洞。
微软远程桌面服务远程代码执行漏洞
北京时间 5 月 15 日,微软官方发布了 5 月安全更新补丁,此次更新共修复了 82 个漏洞,其中 Windows 操作系统远程桌面服务漏洞(CVE-2019-0708)威胁程度较高,攻击者可通过 RDP 协议向目 标发送恶意构造请求,实现远程代码执行,甚至可利用此漏洞实现蠕虫式攻击。
北京时间 9 月 7 日凌晨,有开发者在 GitHub 上披露了 Windows 远程桌面服务远程代码执行漏 洞 (CVE-2019-0708) 的 Metasploit 利用模块,可导致旧版本的 Windows(Windows 7 SP1 x64 与 Windows 2008 R2)无交互远程代码执行。随着工具的扩散,该漏洞有可能导致类似 WannaCry 蠕虫传 播的情况。
图 3.2 CVE-2019-0708
经验证该 EXP已经可以成功利用,但目前无法实现精准的自动化攻击。他要求攻击者在进一步利用 前,需要手动配置目标详细信息。如果未能正确配置参数信息,则可能导致目标主机蓝屏崩溃,目前已 有黑客利用该漏洞进行大规模扫描的情况,可能导致存在漏洞的主机被批量攻击。
建议务必对企业资产进行漏洞排查,及时安装相应安全补丁或通过启用网络级认证(NLA)等缓解
措施以避免遭受攻击。同时,绿盟科技可提供该漏洞的检测防护能力。
绿盟云在线排查(点击“紧急漏洞”进入线上排查): https://cloud.nsfocus.com/#/secwarning/secwarning_news 针对该漏洞的修复补丁及检测防护方案可参考以下链接; https://mp.weixin.qq.com/s/kFm36q2MycTR5zOOJwsiXw
及远程代码执行漏洞
Confluence 多被企业用户作为 Wiki平台,实现团队成员间的知识共享,可能存储大量内部敏感文件。 若出现信息泄露、远程代码执行等漏洞,将造成严重影响。
从绿盟科技威胁情报中心(NTI)中可以查询到,在全球范围内对互联网开放 Confluence 服务的资 产数量多达 32492 个,其中归属中国地区的资产数量为 7014 个。
2019 年 3 月 20 日,Confluence 官方发布了 SSRF 漏洞(CVE-2019-3395)及远程代码执行漏洞 (CVE-2019-3396)的安全通告,攻击者利用漏洞可实现远程代码执行、服务器端请求伪造。此次通告 的漏洞分别存在于 WebDAV及 Widget 连接器中。通告发布不久,针对此次通告漏洞的利用代码便在网 络上迅速传播。
2018 年 6 月 18 日前发布的 Confluence Server 及 Data Center 均受此漏洞影响。此漏洞存在于 WebDAV插件中,攻击者可远程利用此漏洞使 Confluence 服务器或 Data Center 发送任意 HTTP 或 WebDAV请求,实现服务器端请求伪造(SSRF)。
官方已针对此漏洞发布 6.8.5、6.9.3 修复版本。
该漏洞为 server-side template injection 服务器端模板注入漏洞,存在于 Confluence Server 及 Data Center 的 Widget Connector 插件中。攻击者成功利用此漏洞可实现目录穿越及远程代码执行。
官方已针对此漏洞发布 6.12.3、6.13.3、6.14.2 修复版本。
漏洞利用成功截图如下:
图 3.3 漏洞利用成功截图 具体检测及防护方案,可参考以下链接:
同时,使用 Confluence 的用户也可关注官方发布的安全通告,及时掌握 Confluence 相关安全漏洞 信息,在不影响业务正常使用的前提下,及时更新版本。
官方安全通告链接如下
代码执行漏洞
参考资料
绿盟 2019年安全事件响应观察报告
友情链接
GB-T 20274.2-2008 信息安全技术 信息系统安全保障评估框架 第2部分:技术保障
绿盟安全事件响应观察及远程代码执行漏洞相关推荐
- 绿盟安全事件响应观察漏洞频繁爆发
漏洞频繁爆发 系统或应用的安全疏漏.安全人员对利用方式的公开.黑客对 PoC 恶意散播等均有可能导致 0day 漏洞的爆发.2019 年,绿盟科技监测到网络上出现较多的 0day 漏洞公开信息,根据众 ...
- 微软远程桌面服务远程代码执行漏洞
人和管理成为主要入侵突破口 安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当 ...
- CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-29 1 漏洞简述 2021年06月29日 ...
- CVE-2021-35464: ForgeRock AM远程代码执行漏洞
报告编号:B6-2021-063002 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-30 0x01 漏洞简述 2021年06月30日,360CERT监测发现ports ...
- CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞
报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-02 1 更新概览 1.漏洞简述新增360CERT对CVE-2021-34527( ...
- CVE-2021-30116: Kaseya VSA 远程代码执行漏洞
报告编号:B6-2021-070601 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-06 0x01 漏洞简述 2021年07月06日,360CERT监测发现Kasey ...
- CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告
报告编号:B6-2021-011301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01漏洞简述 2021年01月13日,360CERT监测发现Micros ...
- Apache Log4j 远程代码执行漏洞直接让安全圈过年~
在此声明:本文章的目的是让大家参考此漏洞的修复方法切记不要批量刷SRC,否则后果自负与本人无关, 安全圈直接过年了 苹果 百度 shiro从2014年-2022年坚持到了现在,log4j是下一个能养活 ...
- CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告
报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 stru ...
最新文章
- XGBoost算法原理解释(转载)
- pythonfopen_Python之文件读写详解
- 视觉SLAM学习--视觉定位比赛(CVPR2020)
- 数据库系统(二)——数据更新和视图
- ANSI C中的CRC16参考实现
- webpack 错误提示 Error: Can't resolve 'css-loader'或Error: Can't resolve 'style-loader'
- mysql-installer-community-5.5.29.0.msi 下载
- 关于Windows 2003 sp1不能打开CHM文件的问题
- VB添加listbox 的水平卷动轴
- tray filled with nike air max light snacks
- 如何用手机制作一寸或二寸证件照?
- 彻底删除aix下的oracle rac 数据库,AIX RAC 安装失败完全卸载
- 系统集成项目管理工程师(中级)考试心得经验
- PS学习笔记(一):基础知识
- iphone禁止自动连接wifi操作方法「苹果教程」
- 02_安装nginx-银河麒麟V10(Kylin Linux Advanced Server V10 (Tercel))操作系统
- Win10安装CUDA报错NVIDIA安装程序失败
- python合并多个pdf_python使用PyPDF2把多个pdf文件合并成一个
- IE病毒必杀记-IE病毒常用查杀方法简介(转)
- 百度竞价排名SEM介绍
热门文章
- css 文字自动换行
- 小体积、高速率的nRF24L01芯片通信模块
- ecshop package.php,package.php
- div.html attach html,attach.html
- 利用layer实现MVC页面数据互交提示弹框
- jquery触发a标签点击事件
- ecu故障现象_老司机聊发动机异常熄火故障:ECU可以换,程序不能乱
- 复旦大学计算机技术参考书,2021复旦大学计算机科学与技术考研真题经验参考书...
- 2 基于梯度的攻击——PGD
- 《我来说说DO-178B标准》