实战出击:web服务器打了补丁依然被突破,他们如何防?-腾博游戏官网手机版

腾博游戏官网手机版-腾博游戏官网手机版
新闻中心

新闻中心  >  实战出击:web服务器打了补丁依然被突破,他们如何防?
实战出击:web服务器打了补丁依然被突破,他们如何防?
背景图 2023-09-03 11:56:28

“收到告警,信息中心dmz区web服务器被突破!”

“报告,攻击者是利用了weblogic t3协议反序列化漏洞进来的。”

“这是在去年攻防演练就公开过的漏洞,我们也在去年就打上了官方补丁,但目前从攻击者路径看来,补丁是无效的。”

 

对话发生在某航空企业网络安全部门内。去年,该航空企业正是因为该漏洞丢了不少分,今年漏洞再次被利用,难道又要老戏重演?

所幸的是,今年攻防演练之前,他们就做好了十足准备,在主机上安装了深信服aes主机安全软件,不仅成功检测到了威胁,也帮助企业获得了大量的溯源得分

经过这一战,aes主机安全软件的兜底效果获得了该航空企业的高度认可,但网络安全部门负责人心里还存在着很多不解:为什么漏洞打了补丁还可以被利用?实战中还存在着多少这样的“意外情况”?aes怎么来做兜底的呢?在后续的汇报中,他得到了相应的解答。

 

实战回顾1

组件版本停止维护,补丁未100%覆盖

去年与今年,weblogic t3协议反序列化漏洞被重复利用。去年网络安全部门尝试禁用t3协议,最终因为影响业务而不得不恢复t3协议,转而打官方补丁。

而在今年的攻防演练中,经过深信服安全专家分析后,给他们提供了该漏洞的具体信息:

● 漏洞利用前提:t3/iiop协议对外开放,jdk版本在1.7.21以下

● 该航空企业web服务器环境:weblogic 10.3.6.0 2022年一月份补丁

weblogic t3协议反序列化漏洞

而从2022年开始,oracle已经不再维护weblogic 10.3.6.0及以下的版本。

oracle已经不再维护weblogic 10.3.6.0及以下的版本

官方的建议组合是使用jdk配合weblogic 12/14系列组件版本。

原来,这一次该航空企业所打的补丁疑似未覆盖到组件使用的小版本,而在该企业尝试下载该组件特定的补丁版本,发现该组件版已经停止维护。

经过分析后,网络安全部门负责人也意识到,这样的“意外情况”在实战中其实屡见不鲜,原因有二:

● 组件小版本众多,对使用者而言,很难看到某个组件小版本的风险情况,是否停更等

● 针对某一类型的web攻击,通过打补丁的方式无法100%覆盖到众多组件版本

 

实战回顾2

aes主机安全应用防护rasp,精准溯源攻击行为

为什么本次攻防演练能够成功防住该漏洞利用,且能举证详细的原因?我们一起来看看整体过程:

攻防演练能够成功防住该漏洞利用

首先,深信服态势感知上捕获到针对该web服务器的weblogic t3漏洞利用以及java内存马注入流量告警,但只能看到是内网的负载均衡向服务器发起攻击,此时如果想要从防火墙和态势感知流量日志中溯源攻击者ip无异于大海捞针。

其次,由于在主机上安装了aes主机安全,在高级威胁ioa模块中成功检测到探测环境信息的命令,结合态势感知告警,可以确认攻击者反序列化漏洞利用成功

确认攻击者反序列化漏洞利用成功

在aes主机安全的应用防护rasp模块,对攻击行为进行了精准溯源

rasp检测到java反序列化漏洞利用链上的具体jni行为

rasp检测到java反序列化漏洞利用链上的具体jni行为

rasp检测到filter类型内存马注入

rasp检测到filter类型内存马注入

 

通过更详细的告警信息确认攻击者注入java内存马,企图实现持久化的攻击行为,且可以看出试图注入filter类型内存马,与流量解密的结果一致。

rasp通过xff溯源到攻击者ip信息

rasp通过xff溯源到攻击者ip信息

在告警信息的header中可以查看恶意流量的数据包头信息,在x-forwarded-for字段中可以溯源到攻击者的ip:124.64.23.61。

 

实战回顾3

构建web主机防护兜底机制,防御未知威胁

从上面的攻击演练实战案例中可以看到,攻击者的payload绕过友商传统防火墙、waf等设备,利用反序列化远程执行命令成功,并试图注入内存马实现持久化,而这类手法已经常态化、平民化。

因此深信服认为,在主机侧做好应用能力兜底,并与waf形成充分合力,是构建web服务器安全能力、防御未知威胁的最佳实践。

 

1、构建主机兜底防线

针对网络侧waf绕过、东西向流量防护缺失的问题,在主机上建立应用安全最后一道防线,基于应用内部完整运行情况获取最完整的上下文信息,对应用层的攻击做出有效的检测与阻断。

2、网端合力,共同生长

● waf:拦截大量已知特征的web攻击、由工具触发的大批量嗅探攻击。而此类大流量如果在应用内部通过rasp进行检测响应会消耗大量的应用资源。

● rasp:作为安全最后防线,在主机应用上构建少量穿透waf的已知、未知攻击手法的防范能力,同时补充东西向防护能力。最后基于rasp的研判举证信息反向调优waf策略,降低waf被绕过概率,实现能力共生长。

网端合力,共同生长

深信服aes主机安全的rasp防护,基于代码运行环境识别应用上下文来增强应用自己健壮性,并不依赖具体的组件版本情况。同时深信服aes的rasp模块具备以下优势:

深信服aes的rasp模块

深信服端点安全重大升级

融合专业主机安全能力

经过多年企业级网络安全建设和攻防演练经验积累,基于过去主机安全产品cwpp和终端安全产品edr、容器安全产品的能力,深信服进行了创新性升级,统一融合端点安全能力,推出ai驱动的下一代端点安全aes,针对主机的安全提供ai学习和理解业务能力,持续构建带有免疫加固能力的智能防御体系。

基于多年的沉淀和积累,并致力于让用户的安全领先一步,深信服敏锐地捕捉到了用户对主机安全的需求与顾虑,端点安全融合专业主机安全能力,迎来全面、重磅的升级,敬请期待!

网站地图