小主,“天鏡”前來問診啦~
發布時間 2018-04-09
百花齊放、萬柳垂絳
本該是個踏青賞春、欣欣向榮的好季節
然而安全圈卻未曾消停
在經歷了“熔斷”和“幽靈”的洗禮后
每個網絡安全人都時刻警惕著
隨時防御新一輪惡意攻擊
這不
啟明星辰漏掃團隊就開啟了“天鏡問診模式”
↓↓↓
問診一號:memcache放大攻擊
memcached的服務異常發包,導致系統資源緊張,這么大的數據量會不會對別的網絡設備造成影響?
異常發包,資源緊張,發包目的地址明確;該患者存在編號為CVE-2018-1000115的Memcache 相關漏洞,通過該漏洞,已被用于放大拒絕服務攻擊肉雞,建議及時排查。
memcached放大攻擊,黑客通過特定的的IP地址向網站的緩存服務器UDP端口11211,發出假請求,最終引發大規模的并發回應。據網絡安全公司分析,只需要少量的連接請求就可以請發成千上萬次的網站回應次數,15比特的連接請求會引發134KB的回應,這種攻擊效果放大了10000倍!實際測試中,甚至還能引發750KB的回應,攻擊效果放大了51200倍!
1.檢測是否存在比編號為CVE-2018-1000115的漏洞;
2.檢測Memcache其它的相關漏洞,保證Memcache服務正常運行。
(建議使用天鏡脆弱掃描與管理系統,升級至60700151升級包)
最簡單的預防措施是系統防火墻,禁用或限制11211的UDP端口號。由于Memcached緩存服務器默認開啟監聽INADDR_ANY和UDP功能,系統管理員可以在配置中關閉UDP。
問診二號:Exim任意命令執行
Exim在處理文件的時候,在系統中彈出了計算器,這是怎么回事?
根據現有時間點,該患者應該存在編號為CVE-2018-6789的漏洞,這個漏洞可以讓Exim執行任意代碼,建議及時排查。
該漏洞源于base64解碼函數中的一個緩沖區溢出問題。常規下base64編碼的字符串的長度為4的倍數,但是有可能在傳輸或者惡意構造的情況下導致長度不為4的倍數,致使長度計算錯誤。通過該漏洞,攻擊者可以繞過防護機制在受影響的應用程序上下文中執行任意代碼。若攻擊嘗試失敗仍可導致拒絕服務。
1. 檢測是否存在編號CVE-2018-6789漏洞;
2. 檢測Exim其它的相關漏洞,保證Exim服務正常運行。
(建議使用天鏡脆弱掃描與管理系統,升級至60700151升級包)
問診三號:Cisco拒絕服務攻擊
Cisco的4786端口總能接收到異常數據,有時候Cisco會拒絕服務,有時候會在日志中看到執行非常規命令?
4786端口是思科 IOS 和 IOS-XE 系統 Smart Install Client的服務端口,該患者應該患有編號為CVE-2018-0171的Cisco相關漏洞。
思科 IOS 和 IOS-XE 系統 Smart Install Client 代碼中存在一處緩沖區棧溢出漏洞(CVE-2018-0171)。攻擊者可以遠程向 TCP 4786 端口發送一個惡意數據包,利用該漏洞,觸發目標設備的棧溢出漏洞造成設備拒絕服務(DoS)或在造成遠程命令執行,攻擊者可以遠程控制受到漏洞影響的網絡設備。
1. 檢測是否存在編號CVE-018-0171的漏洞; 2. 檢測Cisco其它的相關漏洞,保證Cisco服務正常運行。
(建議使用天鏡脆弱掃描與管理系統,升級至60700151升級包)
問診四號:Weblogic反序列化任意命令執行
Weblogic最近總會執行非授權命令,是否有辦法確定確認是否存在反序列化漏洞?
根據描述,有可能存在java反序列化漏洞,建議對java反序列化相關漏洞進行驗證;
Java反序列化是指把字節序列恢復為Java對象的過程,ObjectInputStream類的readObject()方法用于反序列化。暴露或間接暴露反序列化API,導致用戶可以操作傳入數據,攻擊者可以精心構造反序列化對象并執行惡意代碼。
1.驗證java反序列化相關漏洞,編號為CVE-2016-0638、CVE-2016-3510、CVE-2017-10271、CVE-2017-3248、CVE-2015-4852、CVE-2015-4852;
2.檢測weblogic其它的相關漏洞,保證weblogic服務正常運行。
(建議使用天鏡脆弱掃描與管理系統,升級至60700151升級包,使用漏洞驗證功能)
關于啟明星辰漏掃產品中心
啟明星辰漏掃產品中心聚焦于網絡資產脆弱性安全評估、檢測和修復;研發了針對安全風險各個階段的安全產品及服務;產品包括:天鏡脆弱性掃描與管理系統、天鏡web應用檢測系統、天鏡脆弱性掃描與管理系統-工控專用版、工控無損評估系統、漏洞修復管理系統、天鏡漏洞管理平臺、工控漏洞挖掘系統。
啟明星辰脆弱性評估和管理產品族