漏洞管理-更多:管理还是漏洞?
在本文中,我们想与您分享发生在我们客户身上的案例,并告诉/显示/回答为什么漏洞管理几乎总是与漏洞无关的问题,而简单的事情是“我们将为您过滤掉1,000,000个漏洞真正重要的最低要求还不够。案例1:“哦,我们自己知道一切对我们都不利!”
对象:关键服务器上安装的远程控制模块(IPMI)-超过500个。漏洞:严重性级别(CVSS得分)-7.8CVE-2013−4786-IPMI协议中的漏洞,它使攻击者可以访问用户的密码哈希,这可能导致未经授权的访问和可能的攻击者劫持帐户。案例说明:客户了解该漏洞本身,但是由于下面描述的多种原因,该漏洞仅是“冒险”。案例本身的复杂性在于,使用该模块的所有主板都无法获得补丁,并且在如此大量的服务器上更新固件非常耗费资源。有替代的缓解方法-网络设备上的访问列表(ACL)(由于管理员分布非常分散并且使用IPMI来自此,因此非常困难),并且禁用IPMI,我认为这里没有必要发表评论(以防万一:应该定期管理500台分布式服务器``为了安全起见,这里没有人会这样说。故事通常会在这里结束,但是,我们方面进行了一次额外的漏洞分析,很明显,只有在服务器上存在登录名的请求时,服务器才会返回帐户密码哈希,所以决定:1。将帐户标识符更改为难以选择当然,这不是万能药。而且,如果不急于避免“发光”,请对登录名进行排序,那么迟早可以将其取回。但是,很可能需要大量时间才能有时间实施其他措施。2.更改密码,以使哈希必须更长一些,类似于第1章的情况-暴力破解16个字符的密码的SHA1哈希将永远花费。结果,用最少的资源就关闭了一个已知的危险漏洞,该漏洞甚至可以被Script kiddie轻易利用。案例2:“没有您,我们就可以下载OpenVAS!”
对象:公司内的所有路由器和交换机-超过350台设备。漏洞:严重性级别(CVSS评分)-10.0CVE-2018-0171-Cisco Smart Install功能的漏洞,其操作导致设备配置发生变化,包括密码更改以及法律管理员对其的丢失,即对设备失去控制。因此,攻击者将获得对该设备的完全访问权限。案例说明:尽管使用了多种扫描仪,包括商用扫描仪,但没有一个显示此漏洞。当时的签名可能不是此漏洞的理想之选,或者受影响的网络拓扑以一种或另一种方式-先例。作为一家在一段时间内提供此服务的公司,我们拥有自己的基础,这些基础确实存在非常危险的漏洞,我们对此进行了进一步检查。客户没有使用智能安装功能,因此由于固件更新的复杂性(甚至考虑到过时的硬件部分),解决方案本身归结为向客户端提供IP地址列表,该脚本已禁用了易受攻击的服务。结果,修复了绝大多数网络设备上的严重漏洞,这种漏洞可能不会引起注意,并且一旦受到攻击,将导致整个公司完全关闭。案例3:“如果您愿意,我们会被打破的!”
对象:域控制器,邮件服务器和许多其他对公司至关重要的设备/服务器/主机漏洞:关键级别(CVSS评分)-9.3 CVE-2017-0144-SMB协议中的漏洞,允许在服务器上远程执行任意代码(通过组) WannaCry勒索软件分发了包括所涉及的漏洞在内的漏洞。案例说明: 在计划扫描期间开始提供服务时,发现了一个严重漏洞,唯一可能的建议是安装操作系统更新。客户同意此决定,但是根据控制扫描的结果,漏洞仍然存在。在情况升级并与客户进行私人会谈后,事实证明原因是人为因素-任务不是由专家执行的。后果:由于忽略了该任务几天,成功地通过网络传播的恶意软件到达用户工作站,该漏洞被利用,从而导致域控制器发生故障。结果,该公司蒙受了巨大损失(基础设施恢复工作花了几个月的时间)。 , , – , . – , , , , , .
德米特里·戈洛夫尼亚(Dmitry Golovnya) 戈洛夫尼亚
SOC分析员,AcribiaSource: https://habr.com/ru/post/undefined/
All Articles