網路駭客「最愛」的十大系統安全缺陷

日前,自動化網路安全滲透測試平台Vonahi Security發布了2024年度《滲透測試活動中的重大發現》報告,基於對超過1000家企業組織近萬次自動化網路滲透測試活動的研究分析,研究人員總結了當前企業網路系統在滲透測試過程中最容易被利用的10個安全弱點。儘管這些弱點是由不同的安全漏洞引發,但卻有許多相似的共同點。配置缺陷和補丁管理不足仍然是許多重大威脅隱患的主要原因。

1. MDNS欺騙

MDNS是一種用於小型網路的DNS名稱解析協議,無需本地DNS伺服器。它向本地子網路發送查詢,允許任何系統使用請求的IP位址進行回應。透過大量的滲透測試活動發現,MDNS協定很容易被攻擊者利用,偽造使用自己系統的IP位址來回應。

防護建議:

防止MDNS欺騙最有效的方法是,如果MDNS未被使用,就應該將其停用,這可以透過停用Apple Bonjour或avahi-daemon服務來實現。

2.NBNS欺騙

NBNS(NetBIOS名稱服務)是一種當DNS伺服器無法使用時,內部網路中用於解析DNS名稱的協定。它可以透過網路廣播方式進行查詢,任何系統都可以使用要求的IP位址回應。 NBNS協定也經常被攻擊者利用,他們會使用自己系統的IP位址進行非法回應。

防護建議:

以下幾個策略可以防止或減少NBNS欺騙攻擊的影響:

  • 配置UseDnsOnlyForNameResolutions註冊表項,以便防止系統使用NBNS查詢(NetBIOS over TCP/IP配置參數),將註冊表項DWORD設定為1。
  • 停用內部網路中所有Windows主機的NetBIOS服務。這可以透過DHCP選項、網路介面卡設定或註冊表項來完成。

3.LLMNR欺騙

從Windows Vista 起,Windows 作業系統開始支援新的名稱解析協定- LLMNR(連結本機多播名稱解析),主要用於區域網路中的名稱解析。 LLMNR 能夠很好的支援IPv4 和IPv6,因此在Windows 名稱解析順序中是一個僅次於DNS 的名稱解析方式,更重要的是在Linux 作業系統中也實作了LLMNR。透過滲透測試發現,LLMNR很容易被攻擊者利用,他們可以使用自己系統的IP位址進行非法回應。

防護建議:

防止LLMNR欺騙的有效方法是設定多重播送名稱解析登錄項,以防止系統使用LLMNR查詢。

  • 使用群組原則:Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution=Enabled(若要管理Windows 2003 DC,請使用Windows 7版遠端伺服器管理工具)。
  • 使用只適用於Windows Vista/7/10家用版的登錄項目:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticast。

4.IPV6 DNS欺騙

當未授權的DHCPv6伺服器部署在網路上時,會出現IPv6 DNS欺騙。由於Windows系統偏好IPv6而不是IPv4,啟用IPv6的用戶端將優先使用DHCPv6伺服器(如果可用)。在攻擊過程中,IPv6 DNS伺服器會被惡意指派給這些客戶端,同時保持它們的IPv4配置。這便於攻擊者透過重新配置客戶端以使用攻擊者的系統作為DNS伺服器來攔截DNS請求。

防護建議:

如果業務不需要,應該停用IPv6。由於停用IPv6可能導致網路服務中斷,因此強烈建議在大規模部署之前測試這項配置。如果需要使用IPv6,則應該在網路交換器上實作DHCPv6保護機制。實際上,DHCPv6保護機制確保只允許授權的DHCP伺服器清單將租約(lease)分配給客戶端。

5.老舊的Windows作業系統

老舊的Windows作業系統不會得到廠商的維護和安全性更新,因此其中的安全漏洞很容易被攻擊者所利用。在大量的滲透測試中發現,老舊的Windows作業系統很容易成為攻擊者的目標,攻擊者可以利用其弱點,轉而攻擊網路中的其他系統和資源。

防護建議:

組織應及時整理掌握過時的Windows版本,採取針對性的防護,並在可能的情況下,盡快替換成有廠商支援的最新作業系統版本。

6.IPMI旁路身份驗證

IPMI是智慧型平台管理介面(Intelligent Platform Management Interface) 。使用者可以利用IPMI監視伺服器的實體特徵,如溫度、電壓、電扇工作狀態、電源供應以及機箱入侵等。 IPMI的一大特色在於它是獨立於CPU、BIOS和OS的,所以用戶無論在開機或關機的狀態下,只要接通電源就可以實現對伺服器的監控。然而,透過旁路身份驗證方式,攻擊者可以利用IPMI來繞過伺服器的身份驗證環節,並提取密碼雜湊。特別當密碼是預設密碼或弱密碼時,攻擊者就可以取得明文密碼,並遠端存取。

防護建議:

目前,針對IPMI旁路驗證還沒有針對性的補丁,建議組織執行以下一個或多個操作。

  • 將IPMI存取限制在數量有限的系統上,即出於管理目的必需要存取的系統。
  • 如果業務不需要IPMI服務,應立即停用該服務。
  • 將預設管理員密碼改為複雜的強密碼。
  • 服務只使用安全協議,例如HTTPS和SSH,以限制攻擊者在中間人攻擊中成功取得存取密碼的機會。

7.Windows RCE(BlueKeep)

BlueKeep(CVE-2019-0708)是一個在2019年被發現的高風險安全漏洞,曾經廣泛影響了數百萬台電腦設備。然而在最近的滲透測試活動中,研究人員仍然發現在許多企業中仍然會大量存在BlueKeep安全缺陷的系統。由於缺乏可用的工具和程式碼,這個Windows安全缺陷會對使用者係統帶來嚴重的損害,讓攻擊者完全控制受影響的系統。

防護建議:

由於該安全缺陷經常被利用,並可能導致濫用,因此應立即修復。修復方式很簡單,只要在受影響的系統上部署安全性更新,就可以有效防範漏洞。但是,組織應該評估現有的修補程式管理流程,找到為何遺漏相關安全更新的原因。

8.本機管理員密碼重複使用

在內部滲透測試期間,研究人員發現許多系統共用相同的本機管理員密碼。如果攻擊者竊取了一個本機管理員帳戶,就可以成功存取到多個系統,這大大增加了組織內部大規模遭到攻擊的風險。

防護建議:

使用微軟LDAPS之類的密碼管理解決方案,以確保多個系統上的本機管理員密碼不一致,並按時更新密碼。

9.Windows RCE(永恆之藍)

和BlueKeep安全漏洞一樣,在滲透測試過程中,研究人員發現了大量易受EternalBlue(永恆之藍)漏洞利用攻擊的系統。這是一個在2017年被發現的漏洞,曾經影響非常廣泛,可以讓攻擊者完全控制受影響的系統。

防護建議:

在受影響的系統上部署安全性更新即可。但是,組織應該評估現有的修補程式管理程序,以確定未能及時進行安全性更新的原因。

10.Dell EMC IDRAC 7/8 CGI注入

iDRAC 是位於伺服器主機板上的硬件,允許系統管理員更新和管理戴爾系統,即使在伺服器關閉時也是如此。 iDRAC 還提供了Web 介面和命令列介面,使管理員可以執行遠端管理任務。幾乎所有目前的戴爾伺服器都具有iDRAC選項。滲透測試人員發現,2.52.52.52之前的Dell EMC iDRAC7/iDRAC8版本易受CVE-2018-1207指令注入漏洞的影響。這允許未經身份驗證的攻擊者以root權限執行命令,從而使他們能夠完全控制iDRAC設備。

防護建議:

盡快將韌體升級到最新版本。

參考連結:https://thehackernews.com/2024/06/top-10-critical-pentest-findings-2024.html