• 新闻中心

          新闻中心  >  实战出击:Web服务器打了补丁依然被突破,,,,他们如何防???
          实战出击:Web服务器打了补丁依然被突破,,,,他们如何防???
          背景图 2023-09-03 11:56:28

          “收到告警,,信息中心DMZ区Web服务器被突破!!!!”

          “报告,,,攻击者是利用了Weblogic T3协议反序列化漏洞进来的。。。。”

          “这是在去年攻防演练就公开过的漏洞,,我们也在去年就打上了官方补丁,,,但目前从攻击者路径看来,,,补丁是无效的。。。。”

           

          对话发生在某航空企业网络安全部门内。。。去年,,该航空企业正是因为该漏洞丢了不少分,,今年漏洞再次被利用,,,难道又要老戏重演????

          所幸的是,,,今年攻防演练之前,,他们就做好了十足准备,,,,在主机上安装了岳阳千联aES主机安全软件,,,不仅成功检测到了威胁,,,,也帮助企业获得了大量的溯源得分。。。

          经过这一战,,,aES主机安全软件的兜底效果获得了该航空企业的高度认可,,,但网络安全部门负责人心里还存在着很多不解:为什么漏洞打了补丁还可以被利用????实战中还存在着多少这样的“意外情况”??aES怎么来做兜底的呢??在后续的汇报中,,,,他得到了相应的解答。。。。

           

          实战回顾1

          组件版本停止维护,,,补丁未100%覆盖

          去年与今年,,,Weblogic T3协议反序列化漏洞被重复利用。。。去年网络安全部门尝试禁用T3协议,,最终因为影响业务而不得不恢复T3协议,,,,转而打官方补丁。。。

          而在今年的攻防演练中,,经过岳阳千联安全专家分析后,,给他们提供了该漏洞的具体信息:

          ● 漏洞利用前提:T3/IIOP协议对外开放,,jdk版本在1.7.21以下

          ● 该航空企业web服务器环境:WebLogic 10.3.6.0 + 2022年一月份补丁

          Weblogic T3协议反序列化漏洞

          而从2022年开始,,Oracle已经不再维护WebLogic 10.3.6.0及以下的版本。。。。

          Oracle已经不再维护WebLogic 10.3.6.0及以下的版本

          官方的建议组合是使用JDK配合weblogic 12/14系列组件版本。。。

          原来,,这一次该航空企业所打的补丁疑似未覆盖到组件使用的小版本,,而在该企业尝试下载该组件特定的补丁版本,,,,发现该组件版已经停止维护。。

          经过分析后,,,网络安全部门负责人也意识到,,,,这样的“意外情况”在实战中其实屡见不鲜,,,,原因有二:

          ● 组件小版本众多,,,,对使用者而言,,,很难看到某个组件小版本的风险情况,,是否停更等

          ● 针对某一类型的web攻击,,,,通过打补丁的方式无法100%覆盖到众多组件版本

           

          实战回顾2

          aES主机安全应用防护RASP,,精准溯源攻击行为

          为什么本次攻防演练能够成功防住该漏洞利用,,,,且能举证详细的原因??我们一起来看看整体过程:

          攻防演练能够成功防住该漏洞利用

          首先,,,,岳阳千联态势感知上捕获到针对该web服务器的weblogic T3漏洞利用以及Java内存马注入流量告警,,,,但只能看到是内网的负载均衡向服务器发起攻击,,此时如果想要从防火墙和态势感知流量日志中溯源攻击者IP无异于大海捞针。。。

          其次,,,,由于在主机上安装了aES主机安全,,,,在高级威胁IOA模块中成功检测到探测环境信息的命令,,结合态势感知告警,,可以确认攻击者反序列化漏洞利用成功。。

          确认攻击者反序列化漏洞利用成功

          在aES主机安全的应用防护RASP模块,,,,对攻击行为进行了精准溯源:

          RASP检测到Java反序列化漏洞利用链上的具体JNI行为

          RASP检测到Java反序列化漏洞利用链上的具体JNI行为

          RASP检测到Filter类型内存马注入

          RASP检测到Filter类型内存马注入

           

          通过更详细的告警信息确认攻击者注入Java内存马,,,,企图实现持久化的攻击行为,,且可以看出试图注入Filter类型内存马,,与流量解密的结果一致。。

          RASP通过XFF溯源到攻击者IP信息

          RASP通过XFF溯源到攻击者IP信息

          在告警信息的Header中可以查看恶意流量的数据包头信息,,在X-Forwarded-For字段中可以溯源到攻击者的IP:124.64.23.61。。。。

           

          实战回顾3

          构建Web主机防护兜底机制,,,,防御未知威胁

          从上面的攻击演练实战案例中可以看到,,攻击者的payload绕过友商传统防火墙、、WAF等设备,,,,利用反序列化远程执行命令成功,,,并试图注入内存马实现持久化,,,而这类手法已经常态化、、、平民化。。

          因此岳阳千联认为,,,在主机侧做好应用能力兜底,,并与WAF形成充分合力,,,是构建Web服务器安全能力、、防御未知威胁的最佳实践。。

           

          1、、构建主机兜底防线

          针对网络侧WAF绕过、、、东西向流量防护缺失的问题,,在主机上建立应用安全最后一道防线,,基于应用内部完整运行情况获取最完整的上下文信息,,,,对应用层的攻击做出有效的检测与阻断。。。。

          2、、、、网端合力,,,共同生长

          ● WAF:拦截大量已知特征的Web攻击、、、、由工具触发的大批量嗅探攻击。。而此类大流量如果在应用内部通过RASP进行检测响应会消耗大量的应用资源。。。

          ● RASP:作为安全最后防线,,,在主机应用上构建少量穿透WAF的已知、、未知攻击手法的防范能力,,,,同时补充东西向防护能力。。。。最后基于RASP的研判举证信息反向调优WAF策略,,降低WAF被绕过概率,,,,实现能力共生长。。。

          网端合力,,,,共同生长

          岳阳千联aES主机安全的RASP防护,,基于代码运行环境识别应用上下文来增强应用自己健壮性,,,并不依赖具体的组件版本情况。。。同时岳阳千联aES的RASP模块具备以下优势:

          岳阳千联aES的RASP模块

          岳阳千联端点安全重大升级

          融合专业主机安全能力

          经过多年企业级网络安全建设和攻防演练经验积累,,,基于过去主机安全产品CWPP和终端安全产品EDR、、容器安全产品的能力,,,,岳阳千联进行了创新性升级,,,统一融合端点安全能力,,,推出AI驱动的下一代端点安全aES,,,,针对主机的安全提供AI学习和理解业务能力,,,,持续构建带有免疫加固能力的智能防御体系。。。

          基于多年的沉淀和积累,,并致力于让用户的安全领先一步,,岳阳千联敏锐地捕捉到了用户对主机安全的需求与顾虑,,,,端点安全融合专业主机安全能力,,迎来全面、、重磅的升级,,,,敬请期待!!!!

          站点地图