绿盟安全事件响应观察漏洞频繁爆发

这篇具有很好参考价值的文章主要介绍了绿盟安全事件响应观察漏洞频繁爆发。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

漏洞频繁爆发

系统或应用的安全疏漏、安全人员对利用方式的公开、黑客对 PoC 恶意散播等均有可能导致 0day
漏洞的爆发。2019 年,绿盟科技监测到网络上出现较多的 0day 漏洞公开信息,根据众多漏洞的影响面, 在此列出目前依然值得关注的几个漏洞:#### 再爆漏洞
2019 年中,Sandb
oxEscaper 再次爆出多个 Windows 0day 漏洞。在一年多的时间内,这名安全研 究员在没有给出 90 天的预备披露时间的情况下,已经披露了 9 个 Windows 0day 漏洞,且均附带 PoC。SandboxEsca
per 披露的漏洞涉及任务计划程序、Windows Installer、Windows 错误报告服务、IE 11 等多个 Windows 组件,且多为本地提权漏洞:- Windows Task Scheduler 进程本地提权漏洞

  • IE 11 沙箱逃逸漏洞
  • Windows 错误报告服务本地提权漏洞(在 SandboxEscaper 发布演示 PoC 之前,微软已 2019 年 5 月安全更新中将其修复 , 漏洞编号 CVE-2019-0863.)
  • 高阶本地程序调用 (ALPC) 本地提权漏洞
  • Microsoft Data Sharing (dssvc.dll) 本地提权漏洞
  • ReadFile 本地提权漏洞
  • Windows Error Reporting (WER) system 本地提权漏洞 AngryPolarBearBug2
  • Windows AppX Deployment Service (AppXSVC) 本地提权漏洞(CVE-2019-0841 绕过)
  • Windows Installer 文件夹本地提权漏洞
    微软官方已对其公开的漏洞进行了修复,目前暂未发现在野利用的情况。微软官方在每个月第二周 的星期二(北京时间星期三)发布当月的安全更新。用户可及时关注官方安全更新,及时安装修复补丁, 官方安全漏洞更新链接如下:
    由于网络故障、操作系统环境等原因,Windows Update 补丁更新可能失败。用户在安装补丁后, 应及时检查补丁是否安装成功。
文件解析漏洞

2019 年 2 月 28 日,国外安全公司发现 Chrome 浏览器存在 0day 漏洞,可导致用户使用 Chrome 打开恶意 PDF 文件时发生信息泄露。根据监测,已发现多个针对该漏洞的在野利用样本。
此漏洞存在于 Chrome 浏览器使用的 PDF JavaScript API 中,影响所有使用 Chrome 浏览 PDF 文件 的用户,攻击者只需在 PDF 中加入一条特定 API调用,即可导致用户的 Chrome 将个人信息发送至攻 击者指定位置。
可能泄露的个人信息包括:

  1. 用户的公网 IP 地址;
  2. 操作系统版本、Chrome 版本信息;
  3. 用户计算机上 PDF 文件的完整路径。
    攻击者利用该漏洞可进行攻击前期的信息搜集,以实施下一步有针对性的攻击。如通过 PDF 文件 完整路径,攻击者可获取主机有效目录,再结合上述 WinRAR代码执行漏洞,构造恶意文件释放到特定 用户名下的自启动目录,可能会造成更大的威胁。
    目前 Chrome 74.0.3729.108 及以上版本已对此漏洞进行修复,建议相关用户及时升级 Chrome 至 最新版本以确保终端安全性。
    同时,绿盟科技网络入侵防护系统(IPS)已具有此漏洞的防护能力,部署有该设备的用户可升级 规则库至最新,实现对该漏洞的有效防护。
    参考链接:
    Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序 列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean,由于具有执行效率高的特点,应 用范围广泛。
    2019 年 7 月,Fastjson 出现高危远程代码执行漏洞,该漏洞是 Fastjson 于 2017 年爆出的远程代 码执行漏洞新的绕过利用方式,攻击者可通过此漏洞远程执行恶意代码来获取目标主机权限。官方发布 1.2.58 版本,以补充 autoType 黑名单的方式对此漏洞进行了临时修复。
    2019 年 9 月,官方添加的 autoType 黑名单限制在一些特定场景下被绕过,目前官方已发布新版本 对 autoType 黑名单进行优化。不需要使用 autoType 的用户只需保持 autoType 处于关闭状态,并升级 Fastjson 至 1.2.60 版本,即可防护此漏洞。
    针对该漏洞的检测与防护可参考以下链接:

国内商用软件安全状况堪忧

2019 年中开始,国内商用软件漏洞频繁爆发。多家厂商被爆出存在远程代码执行、SQL注入、未 授权访问等高风险漏洞,使得这些软件成为攻击者对企业攻击的入口。商用软件的安全问题引起了安全 研究人员的重视。
从国家信息安全漏洞共享平台(CNVD)收录的漏洞情况来看,2019 年国内商用软件漏洞收录数量 明显增多。尤其 2019 年后半年,个别厂商漏洞数量呈激增型增长。
2016年 2017年 2018年 2019年 绿盟安全事件响应观察漏洞频繁爆发某OA 甲 绿盟安全事件响应观察漏洞频繁爆发某OA 乙 某OA 丙 绿盟安全事件响应观察漏洞频繁爆发某OA 丁 绿盟安全事件响应观察漏洞频繁爆发某邮件系统
图 3.4 CNVD 国内厂商漏洞收录情况
安全人员的漏洞研究可以更好的协助厂商发现自身产品的安全问题。在对产品漏洞进行研究、修复 的过程中,也间接提升了商业软件用户的安全防护能力。

反序列化漏洞补丁绕过

WebLogic 是 Oracle 公司出品,基于 J2EE 架构的中间件,是用于开发、集成、部署和管理大型分 布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。拥有可扩展、快速开发、部署灵活、安全 可靠等优点,被开发人员广泛应用。
根据绿盟科技威胁情报中心(NTI)统计结果,全球范围内对互联网开放 WebLogic 服务的资产数 量多达 19229 个,其中归属中国地区的资产数量为 1787 个。
WebLogic 在 2015 年被发现第一个 Java 反序列化漏洞,漏洞编号为 CVE-2015-4852, 存在 于 Apache Commons Collections 基 础 库 的 TransformedMap 类 中, 通 过 反 序 列 化 恶 意 构 造 的 TransformedMap 对象,攻击者可执行任意命令。WebLogic 官方采用阻止恶意反序列化的黑名单方式, 修复了此漏洞(CVE-2015-4852)。自此,WebLogic 踏上了反反复复的漏洞修补和补丁被绕过之路。
图 3.5 WebLogic Java 反序列化漏洞发展史
2019 年 4 月 17 日,国家信息安全漏洞共享平台(CNVD)发布了关于 WebLogic 反序列化远程代 码执行漏洞(CNVD-C-2019-48814)的安全通告。WebLogic Java 反序列化远程代码执行漏洞再一次 引起安全研究人员的关注,此次分配的 CVE编号为 CVE-2019-2725,此漏洞存在于 WebLogic 自带的 wls9_async_response 及 wls-wsat 组件中,由于在反序列化处理输入信息的过程中存在缺陷,未经授 权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。官方于 4 月 27 日针对此漏洞发布了补丁,再次以黑名单的方式对漏洞进行修复。
2019 年 6 月 15 日,网上爆出 CVE-2019-2729 修复补丁的绕过方式。攻击者通过构造特定的 HTTP 请求,绕过 WebLogic 在四月份发布针对 CVE-2019-2725 补丁的黑名单策略,并远程执行命令。官方 于 6 月 19 日发布了修复补丁。
2019 年 10 月,Oracle 官方在 CPU 中修复了 WebLogic 反序列化漏洞(CVE-2019-2890),该漏洞 绕过了 WebLogic 当时已有的黑名单限制,使攻击者可以通过 T3 协议对 WebLogic 组件实施远程攻击。
至此,WebLogic Java 反序列化漏洞的修补史暂时告一段落,但由于官方仍以黑名单的方式修复漏洞, 不排除还会出现补丁被绕过风险。目前 WebLogic 反序列化漏洞经常被攻击者用于虚拟挖矿、勒索软件 的传播,相关用户需及时关注官方补丁更新情况。
WebLogic 反序列化漏洞检测及防护方案可参考以下链接:

  • WebLogic T3 协议相关漏洞

结语

在企业安全建设过程中,加强漏洞管理并有效运营是不可或缺的重要环节。除了日常对业务系统通 过安全测试、代码审计发现漏洞外,企业运营过程中使用的软件、服务、系统的自身通用漏洞同样也需 要重点关注。
在此我们给出几条漏洞管理的建议:

  1. 建立企业内的漏洞风险等级体系:从影响面(是否为核心业务系统)、危害性(利用难度、造成危害) 等维度对漏洞进行定级,并对不同等级漏洞制定相应的处置响应时间。
  2. 制定漏洞处置流程:在发现漏洞并完成定级后,分发至对应负责人员进行漏洞修复,并定期跟 进漏洞修复情况,对无法按时修复的漏洞进行说明。(部分漏洞修复方案可能会对业务造成影响, 对于重要业务系统,在正式实施修复方案前,需对业务影响情况进行评估,建议先在测试环境 中完成修复。)
  3. 建立企业内部漏洞知识库:收录已处置的漏洞信息,记录漏洞修复过程,便于事后查阅及回退。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 37027-2018 信息安全技术 网络攻击定义及描述规范文章来源地址https://www.toymoban.com/news/detail-470360.html

到了这里,关于绿盟安全事件响应观察漏洞频繁爆发的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全事件分析思路及逻辑_当菜省公司安全专业发现一个告警,该告警中显示一台wn主机频繁的通过445端口探测其(1)

    ​ 误报排除方法:如果短时间内扫描大量不存在的web页面(人工达不到的速度,比如上面一分多钟达到208次)那就很有可能是在探 测web目录是否存在一些中间件 ​ 查看扫描的部分路径是否一些常见中间件的url,比如上面一直扫描web是否存在mysql的管理工具,如果扫描到 my

    2024年04月27日
    浏览(35)
  • SOAR安全事件编排自动化响应-安全运营实战

    SOAR是最近几年安全市场上最火热的词汇之一。各个安全产商都先后推出了相应的产品,但大部分都用得不是很理想。SOAR不同与传统的安全设备,买来后实施部署就完事,SOAR是一个安全运营系统,是实现安全运营过程中人、工具、流程的有效协同,提高安全运营效率的平台。

    2024年02月04日
    浏览(47)
  • 安全响应中心 — 垃圾邮件事件报告(6.5)

    2023年6月 第二周 样本概况 ✅ 类型1: 携带钓鱼链接的伪造传票邮(URLPhish) 近期,安全团队捕获到一类新的伪造51某票的钓鱼邮件,内容上为伪造的律师事务所传票信息,并诱导收件人点击钓鱼链接。代表样本如下: 结合情报分析,该域名下存在过恶意压缩文件,木马家族为

    2024年02月08日
    浏览(42)
  • 基于智能化安全编排的网络安全事件响应架构

    当前,网络安全问题日益严重,网络攻击方式日趋多样化和隐蔽化,安全漏洞等安全风险和事件层出不穷,依托人工经验、基于单点安全防御能力分析和响应的网络安全运维模式已经不足以应对,亟需从全网整体安全运维的角度去考虑,将分散的安全监测与响应机制整合起来

    2024年02月19日
    浏览(42)
  • 安全响应中心 — 垃圾邮件事件报告(5.16)

    2023年5月 第二周 一. 样本概况 ✅ 类型1:二维码钓鱼(QRPhish) 利用二维码进行的钓鱼、投毒,成为目前常见的邮件攻击手段之一,该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。 近日,安全团队捕获到一类基于员工福利、节日礼品的二维码钓鱼邮件。攻击

    2024年02月07日
    浏览(41)
  • 开源软件的漏洞响应:应对安全威胁

    🌷🍁 博主猫头虎 带您 Go to New World.✨🍁 🦄 博客首页——猫头虎的博客🎐 🐳《面试题大全专栏》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 🌊 《IDEA开发秘籍专栏》学会IDEA常用操作,工作效率翻倍~💐 🌊 《100天精通Golang(基础入门篇)》学会Golang语言

    2024年02月10日
    浏览(63)
  • [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

    👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有

    2024年02月16日
    浏览(44)
  • 网络安全从入门到精通(特别篇I):Windows安全事件应急响应之Windows应急响应基础必备技能

    事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。 入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主

    2024年04月15日
    浏览(55)
  • Spring Security漏洞防护—HTTP 安全响应头

    Spring Security提供了 一套默认的安全HTTP响应头,以提供安全默认值。虽然这些头信息中的每一个都被认为是最佳实践,但应该注意的是,并不是所有的客户端都使用这些头信息,所以鼓励进行额外的测试。 你可以定制特定的header。例如,假设你想使用默认值,但你希望为 X-

    2024年02月03日
    浏览(36)
  • Spring Security 6.x 系列【46】漏洞防护篇之安全相关的HTTP响应头

    有道无术,术尚可求,有术无道,止于术。 本系列Spring Boot 版本 3.0.4 本系列Spring Security 版本 6.0.2 源码地址:https://gitee.com/pearl-organization/study-spring-security-demo

    2024年02月07日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包