本文來(lái)自微信公眾號(hào)“安全牛”。
日前,自動(dòng)化網(wǎng)絡(luò)安全滲透測(cè)試平臺(tái)Vonahi Security發(fā)布了2024年度《滲透測(cè)試活動(dòng)中的重大發(fā)現(xiàn)》報(bào)告,基于對(duì)超過(guò)1000家企業(yè)組織近萬(wàn)次自動(dòng)化網(wǎng)絡(luò)滲透測(cè)試活動(dòng)的研究分析,研究人員總結(jié)了當(dāng)前企業(yè)網(wǎng)絡(luò)系統(tǒng)在滲透測(cè)試過(guò)程中最容易被利用的10大安全弱點(diǎn)。盡管這些弱點(diǎn)是由不同的安全漏洞引發(fā),但卻有許多的相似共同點(diǎn)。配置缺陷和補(bǔ)丁管理不足仍然是導(dǎo)致許多重大威脅隱患的主要原因。
1
MDNS欺騙
MDNS是一種用于小型網(wǎng)絡(luò)的DNS名稱解析協(xié)議,無(wú)需本地DNS服務(wù)器。它向本地子網(wǎng)發(fā)送查詢,允許任何系統(tǒng)使用請(qǐng)求的IP地址進(jìn)行響應(yīng)。通過(guò)大量的滲透測(cè)試活動(dòng)發(fā)現(xiàn),MDNS協(xié)議很容易被攻擊者利用,偽造使用自己系統(tǒng)的IP地址來(lái)進(jìn)行響應(yīng)。
防護(hù)建議:
防止MDNS欺騙的最有效方法是,如果MDNS未被使用,就應(yīng)該將其禁用,這可以通過(guò)禁用Apple Bonjour或avahi-daemon服務(wù)來(lái)實(shí)現(xiàn)。
2
NBNS欺騙
NBNS(NetBIOS名稱服務(wù))是一種當(dāng)DNS服務(wù)器不可用時(shí),內(nèi)部網(wǎng)絡(luò)中用于解析DNS名稱的協(xié)議。它可以通過(guò)網(wǎng)絡(luò)廣播方式進(jìn)行查詢,任何系統(tǒng)都可以使用請(qǐng)求的IP地址進(jìn)行響應(yīng)。NBNS協(xié)議也經(jīng)常會(huì)被攻擊者利用,他們會(huì)使用自己系統(tǒng)的IP地址進(jìn)行非法響應(yīng)。
防護(hù)建議:
以下幾個(gè)策略可以防止或減小NBNS欺騙攻擊的影響:
•配置UseDnsOnlyForNameResolutions注冊(cè)表項(xiàng),以便防止系統(tǒng)使用NBNS查詢(NetBIOS over TCP/IP配置參數(shù)),將注冊(cè)表項(xiàng)DWORD設(shè)置為1。
•禁用內(nèi)部網(wǎng)絡(luò)中所有Windows主機(jī)的NetBIOS服務(wù)。這可以通過(guò)DHCP選項(xiàng)、網(wǎng)絡(luò)適配器設(shè)置或注冊(cè)表項(xiàng)來(lái)完成。
3
LLMNR欺騙
從Windows Vista起,Windows操作系統(tǒng)開(kāi)始支持一種新的名稱解析協(xié)議——LLMNR(鏈路本地多播名稱解析),主要用于局域網(wǎng)中的名稱解析。LLMNR能夠很好的支持IPv4和IPv6,因此在Windows名稱解析順序中是一個(gè)僅次于DNS的名稱解析方式,更重要的是在Linux操作系統(tǒng)中也實(shí)現(xiàn)了LLMNR。通過(guò)滲透測(cè)試發(fā)現(xiàn),LLMNR很容易被攻擊者所利用,他們可以使用自己系統(tǒng)的IP地址進(jìn)行非法響應(yīng)。
防護(hù)建議:
防止LLMNR欺騙的有效方法是配置多播名稱解析注冊(cè)表項(xiàng),以防止系統(tǒng)使用LLMNR查詢。
•使用組策略:Computer ConfigurationAdministrative TemplatesNetworkDNS ClientTurn off Multicast Name Resolution=Enabled(若要管理Windows 2003 DC,請(qǐng)使用Windows 7版遠(yuǎn)程服務(wù)器管理工具)。
•使用只適用于Windows Vista/7/10家庭版的注冊(cè)表項(xiàng):HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTDNSClientEnableMulticast。
4
IPV6 DNS欺騙
當(dāng)未授權(quán)的DHCPv6服務(wù)器部署在網(wǎng)絡(luò)上時(shí),會(huì)出現(xiàn)IPv6 DNS欺騙。由于Windows系統(tǒng)偏愛(ài)IPv6而不是IPv4,啟用IPv6的客戶端將優(yōu)先使用DHCPv6服務(wù)器(如果可用)。在攻擊過(guò)程中,IPv6 DNS服務(wù)器會(huì)被惡意分配給這些客戶端,同時(shí)保持它們的IPv4配置。這便于攻擊者通過(guò)重新配置客戶端以使用攻擊者的系統(tǒng)作為DNS服務(wù)器來(lái)攔截DNS請(qǐng)求。
防護(hù)建議:
如果業(yè)務(wù)不需要,應(yīng)該禁用IPv6。由于禁用IPv6可能導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷,因此強(qiáng)烈建議在大規(guī)模部署之前測(cè)試這項(xiàng)配置。如果需要使用IPv6,則應(yīng)該在網(wǎng)絡(luò)交換機(jī)上實(shí)施DHCPv6保護(hù)機(jī)制。實(shí)際上,DHCPv6保護(hù)機(jī)制確保只允許授權(quán)的DHCP服務(wù)器列表將租約(lease)分配給客戶端。
5
老舊的Windows操作系統(tǒng)
老舊的Windows操作系統(tǒng)不會(huì)得到廠商的維護(hù)和安全更新,因此其中的安全漏洞很容易被攻擊者所利用。在大量的滲透測(cè)試中發(fā)現(xiàn),老舊的Windows操作系統(tǒng)很容易成為攻擊者的目標(biāo),攻擊者可以利用其弱點(diǎn),轉(zhuǎn)而攻擊網(wǎng)絡(luò)中的其他系統(tǒng)和資源。
防護(hù)建議:
組織應(yīng)及時(shí)梳理掌握過(guò)時(shí)的Windows版本,采取針對(duì)性的防護(hù),并在可能的情況下,盡快替換成有廠商支持的最新操作系統(tǒng)版本。
6
IPMI旁路身份驗(yàn)證
IPMI是智能型平臺(tái)管理接口(Intelligent Platform Management Interface)。用戶可以利用IPMI監(jiān)視服務(wù)器的物理特征,如溫度、電壓、電扇工作狀態(tài)、電源供應(yīng)以及機(jī)箱入侵等。IPMI的一大特點(diǎn)在于它是獨(dú)立于CPU、BIOS和OS的,所以用戶無(wú)論在開(kāi)機(jī)還是關(guān)機(jī)的狀態(tài)下,只要接通電源就可以實(shí)現(xiàn)對(duì)服務(wù)器的監(jiān)控。然而,通過(guò)旁路身份驗(yàn)證方式,攻擊者可以利用IPMI來(lái)繞過(guò)服務(wù)器的身份驗(yàn)證環(huán)節(jié),并提取密碼哈希。特別當(dāng)密碼是默認(rèn)密碼或弱密碼時(shí),攻擊者就可以獲取明文密碼,并遠(yuǎn)程訪問(wèn)。
防護(hù)建議:
目前,針對(duì)IPMI旁路身份驗(yàn)證還沒(méi)有針對(duì)性的補(bǔ)丁,建議組織執(zhí)行以下一個(gè)或多個(gè)操作。
•將IPMI訪問(wèn)限制于數(shù)量有限的系統(tǒng)上,即出于管理目的必需要訪問(wèn)的系統(tǒng)。
•如果業(yè)務(wù)不需要IPMI服務(wù),應(yīng)立即禁用該服務(wù)。
•將默認(rèn)管理員密碼改為復(fù)雜的強(qiáng)密碼。
•服務(wù)只使用安全協(xié)議,比如HTTPS和SSH,以限制攻擊者在中間人攻擊中成功獲取訪問(wèn)密碼的機(jī)會(huì)。
7
Windows RCE(BlueKeep)
BlueKeep(CVE-2019-0708)是一個(gè)在2019年被發(fā)現(xiàn)的高危級(jí)安全漏洞,曾經(jīng)廣泛影響了數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)設(shè)備。然而在最近的滲透測(cè)試活動(dòng)中,研究人員仍然發(fā)現(xiàn)在很多企業(yè)中仍然會(huì)大量存在BlueKeep安全缺陷的系統(tǒng)。由于缺乏可用的工具和代碼,這個(gè)Windows安全缺陷會(huì)給用戶系統(tǒng)帶來(lái)嚴(yán)重的損害,允許攻擊者完全控制受影響的系統(tǒng)。
防護(hù)建議:
由于該安全缺陷經(jīng)常被利用,并可能導(dǎo)致被濫用,因此應(yīng)立即修復(fù)。修復(fù)方式很簡(jiǎn)單,只要在受影響的系統(tǒng)上部署安全更新,就可以有效防范該漏洞。但是,組織應(yīng)該評(píng)估現(xiàn)有的補(bǔ)丁管理流程,找到為何會(huì)遺漏相關(guān)安全更新的原因。
8
本地管理員密碼重用
在內(nèi)部滲透測(cè)試期間,研究人員發(fā)現(xiàn)許多系統(tǒng)共享相同的本地管理員密碼。如果攻擊者竊取了一個(gè)本地管理員帳戶,就可以成功訪問(wèn)到多個(gè)系統(tǒng),這大大增加了組織內(nèi)部大范圍遭到攻擊的風(fēng)險(xiǎn)。
防護(hù)建議:
使用微軟LDAPS之類的密碼管理解決方案,以確保多個(gè)系統(tǒng)上的本地管理員密碼不一致,并按時(shí)對(duì)密碼進(jìn)行更新。
9
Windows RCE(EternalBlue)
和BlueKeep安全漏洞一樣,在滲透測(cè)試過(guò)程中,研究人員發(fā)現(xiàn)了大量易受EternalBlue(永恒之藍(lán))漏洞利用攻擊的系統(tǒng)。這是一個(gè)在2017年被發(fā)現(xiàn)的漏洞,曾經(jīng)影響非常廣泛,可以讓攻擊者完全控制受影響的系統(tǒng)。
防護(hù)建議:
在受影響的系統(tǒng)上部署安全更新即可。但是,組織應(yīng)該評(píng)估現(xiàn)有的補(bǔ)丁管理程序,以確定未能及時(shí)進(jìn)行安全更新的原因。
10
Dell EMC IDRAC 7/8 CGI注入
iDRAC是位于服務(wù)器主板上的硬件,允許系統(tǒng)管理員更新和管理戴爾系統(tǒng),即使在服務(wù)器關(guān)閉時(shí)也是如此。iDRAC還提供了Web界面和命令行界面,使管理員可以執(zhí)行遠(yuǎn)程管理任務(wù)。幾乎所有當(dāng)前的戴爾服務(wù)器都具有iDRAC選項(xiàng)。滲透測(cè)試人員發(fā)現(xiàn),2.52.52.52之前的Dell EMC iDRAC7/iDRAC8版本易受CVE-2018-1207命令注入漏洞的影響。這允許未經(jīng)身份驗(yàn)證的攻擊者以root權(quán)限執(zhí)行命令,從而使他們能夠完全控制iDRAC設(shè)備。
防護(hù)建議:
盡快將固件升級(jí)到最新版本。