新闻中心

    新闻中心  >  实战出击:Web服务器打了补丁依然被突破,,,,他们如何防????
    实战出击:Web服务器打了补丁依然被突破,,,他们如何防???
    背景图 2023-09-03 11:56:28

    “收到告警,,,,信息中心DMZ区Web服务器被突破!!”

    “报告,,,攻击者是利用了Weblogic T3协议反序列化漏洞进来的。。。”

    “这是在去年攻防演练就公开过的漏洞,,,我们也在去年就打上了官方补丁,,,,但目前从攻击者路径看来,,,补丁是无效的。。。。”

     

    对话发生在某航空企业网络安全部门内。。。。去年,,,,该航空企业正是因为该漏洞丢了不少分,,,今年漏洞再次被利用,,,,难道又要老戏重演??

    所幸的是,,,今年攻防演练之前,,,他们就做好了十足准备,,在主机上安装了芯启时光aES主机安全软件,,,,不仅成功检测到了威胁,,,也帮助企业获得了大量的溯源得分。。。。

    经过这一战,,,,aES主机安全软件的兜底效果获得了该航空企业的高度认可,,,但网络安全部门负责人心里还存在着很多不解:为什么漏洞打了补丁还可以被利用???实战中还存在着多少这样的“意外情况”????aES怎么来做兜底的呢???在后续的汇报中,,,他得到了相应的解答。。。。

     

    实战回顾1

    组件版本停止维护,,补丁未100%覆盖

    去年与今年,,,Weblogic T3协议反序列化漏洞被重复利用。。。。去年网络安全部门尝试禁用T3协议,,,,最终因为影响业务而不得不恢复T3协议,,转而打官方补丁。。。

    而在今年的攻防演练中,,,,经过芯启时光安全专家分析后,,,给他们提供了该漏洞的具体信息:

    ● 漏洞利用前提:T3/IIOP协议对外开放,,,,jdk版本在1.7.21以下

    ● 该航空企业web服务器环境:WebLogic 10.3.6.0 + 2022年一月份补丁

    Weblogic T3协议反序列化漏洞

    而从2022年开始,,,Oracle已经不再维护WebLogic 10.3.6.0及以下的版本。。。

    Oracle已经不再维护WebLogic 10.3.6.0及以下的版本

    官方的建议组合是使用JDK配合weblogic 12/14系列组件版本。。

    原来,,,这一次该航空企业所打的补丁疑似未覆盖到组件使用的小版本,,而在该企业尝试下载该组件特定的补丁版本,,发现该组件版已经停止维护。。。。

    经过分析后,,网络安全部门负责人也意识到,,,这样的“意外情况”在实战中其实屡见不鲜,,原因有二:

    ● 组件小版本众多,,,对使用者而言,,,很难看到某个组件小版本的风险情况,,是否停更等

    ● 针对某一类型的web攻击,,,,通过打补丁的方式无法100%覆盖到众多组件版本

     

    实战回顾2

    aES主机安全应用防护RASP,,,精准溯源攻击行为

    为什么本次攻防演练能够成功防住该漏洞利用,,,,且能举证详细的原因???我们一起来看看整体过程:

    攻防演练能够成功防住该漏洞利用

    首先,,,,芯启时光态势感知上捕获到针对该web服务器的weblogic T3漏洞利用以及Java内存马注入流量告警,,,,但只能看到是内网的负载均衡向服务器发起攻击,,,,此时如果想要从防火墙和态势感知流量日志中溯源攻击者IP无异于大海捞针。。。

    其次,,,,由于在主机上安装了aES主机安全,,在高级威胁IOA模块中成功检测到探测环境信息的命令,,,,结合态势感知告警,,,可以确认攻击者反序列化漏洞利用成功。。

    确认攻击者反序列化漏洞利用成功

    在aES主机安全的应用防护RASP模块,,对攻击行为进行了精准溯源:

    RASP检测到Java反序列化漏洞利用链上的具体JNI行为

    RASP检测到Java反序列化漏洞利用链上的具体JNI行为

    RASP检测到Filter类型内存马注入

    RASP检测到Filter类型内存马注入

     

    通过更详细的告警信息确认攻击者注入Java内存马,,,,企图实现持久化的攻击行为,,且可以看出试图注入Filter类型内存马,,,与流量解密的结果一致。。。。

    RASP通过XFF溯源到攻击者IP信息

    RASP通过XFF溯源到攻击者IP信息

    在告警信息的Header中可以查看恶意流量的数据包头信息,,,在X-Forwarded-For字段中可以溯源到攻击者的IP:124.64.23.61。。。。

     

    实战回顾3

    构建Web主机防护兜底机制,,防御未知威胁

    从上面的攻击演练实战案例中可以看到,,,,攻击者的payload绕过友商传统防火墙、、WAF等设备,,,利用反序列化远程执行命令成功,,,,并试图注入内存马实现持久化,,而这类手法已经常态化、、、、平民化。。。。

    因此芯启时光认为,,,,在主机侧做好应用能力兜底,,,并与WAF形成充分合力,,,,是构建Web服务器安全能力、、、、防御未知威胁的最佳实践。。

     

    1、、、、构建主机兜底防线

    针对网络侧WAF绕过、、东西向流量防护缺失的问题,,在主机上建立应用安全最后一道防线,,,基于应用内部完整运行情况获取最完整的上下文信息,,对应用层的攻击做出有效的检测与阻断。。。

    2、、网端合力,,,共同生长

    ● WAF:拦截大量已知特征的Web攻击、、、由工具触发的大批量嗅探攻击。。。。而此类大流量如果在应用内部通过RASP进行检测响应会消耗大量的应用资源。。。

    ● RASP:作为安全最后防线,,,在主机应用上构建少量穿透WAF的已知、、、未知攻击手法的防范能力,,,同时补充东西向防护能力。。最后基于RASP的研判举证信息反向调优WAF策略,,,降低WAF被绕过概率,,实现能力共生长。。

    网端合力,,,共同生长

    芯启时光aES主机安全的RASP防护,,,,基于代码运行环境识别应用上下文来增强应用自己健壮性,,并不依赖具体的组件版本情况。。同时芯启时光aES的RASP模块具备以下优势:

    芯启时光aES的RASP模块

    芯启时光端点安全重大升级

    融合专业主机安全能力

    经过多年企业级网络安全建设和攻防演练经验积累,,,,基于过去主机安全产品CWPP和终端安全产品EDR、、、容器安全产品的能力,,,,芯启时光进行了创新性升级,,,统一融合端点安全能力,,推出AI驱动的下一代端点安全aES,,,针对主机的安全提供AI学习和理解业务能力,,,持续构建带有免疫加固能力的智能防御体系。。

    基于多年的沉淀和积累,,,并致力于让用户的安全领先一步,,,芯启时光敏锐地捕捉到了用户对主机安全的需求与顾虑,,端点安全融合专业主机安全能力,,,迎来全面、、重磅的升级,,,敬请期待!!

    站点地图