新闻中心

    新闻中心  >  实战出击:Web服务器打了补丁依然被突破,,,,他们如何防??
    实战出击:Web服务器打了补丁依然被突破,,,他们如何防????
    背景图 2023-09-03 11:56:28

    “收到告警,,,信息中心DMZ区Web服务器被突破!!”

    “报告,,,,攻击者是利用了Weblogic T3协议反序列化漏洞进来的。。。”

    “这是在去年攻防演练就公开过的漏洞,,,,我们也在去年就打上了官方补丁,,,但目前从攻击者路径看来,,,补丁是无效的。。”

     

    对话发生在某航空企业网络安全部门内。。。去年,,,该航空企业正是因为该漏洞丢了不少分,,,,今年漏洞再次被利用,,,,难道又要老戏重演????

    所幸的是,,,,今年攻防演练之前,,,他们就做好了十足准备,,,,在主机上安装了拓客猫软件aES主机安全软件,,,不仅成功检测到了威胁,,,也帮助企业获得了大量的溯源得分。。。

    经过这一战,,aES主机安全软件的兜底效果获得了该航空企业的高度认可,,,,但网络安全部门负责人心里还存在着很多不解:为什么漏洞打了补丁还可以被利用??实战中还存在着多少这样的“意外情况”??aES怎么来做兜底的呢????在后续的汇报中,,,,他得到了相应的解答。。。。

     

    实战回顾1

    组件版本停止维护,,补丁未100%覆盖

    去年与今年,,,Weblogic T3协议反序列化漏洞被重复利用。。。。去年网络安全部门尝试禁用T3协议,,,,最终因为影响业务而不得不恢复T3协议,,转而打官方补丁。。。

    而在今年的攻防演练中,,,,经过拓客猫软件安全专家分析后,,给他们提供了该漏洞的具体信息:

    ● 漏洞利用前提:T3/IIOP协议对外开放,,,,jdk版本在1.7.21以下

    ● 该航空企业web服务器环境:WebLogic 10.3.6.0 + 2022年一月份补丁

    Weblogic T3协议反序列化漏洞

    而从2022年开始,,,Oracle已经不再维护WebLogic 10.3.6.0及以下的版本。。。

    Oracle已经不再维护WebLogic 10.3.6.0及以下的版本

    官方的建议组合是使用JDK配合weblogic 12/14系列组件版本。。

    原来,,,,这一次该航空企业所打的补丁疑似未覆盖到组件使用的小版本,,而在该企业尝试下载该组件特定的补丁版本,,,,发现该组件版已经停止维护。。。

    经过分析后,,网络安全部门负责人也意识到,,,,这样的“意外情况”在实战中其实屡见不鲜,,,原因有二:

    ● 组件小版本众多,,,对使用者而言,,,很难看到某个组件小版本的风险情况,,是否停更等

    ● 针对某一类型的web攻击,,通过打补丁的方式无法100%覆盖到众多组件版本

     

    实战回顾2

    aES主机安全应用防护RASP,,精准溯源攻击行为

    为什么本次攻防演练能够成功防住该漏洞利用,,且能举证详细的原因????我们一起来看看整体过程:

    攻防演练能够成功防住该漏洞利用

    首先,,拓客猫软件态势感知上捕获到针对该web服务器的weblogic T3漏洞利用以及Java内存马注入流量告警,,,但只能看到是内网的负载均衡向服务器发起攻击,,,,此时如果想要从防火墙和态势感知流量日志中溯源攻击者IP无异于大海捞针。。。。

    其次,,由于在主机上安装了aES主机安全,,在高级威胁IOA模块中成功检测到探测环境信息的命令,,,结合态势感知告警,,可以确认攻击者反序列化漏洞利用成功。。。。

    确认攻击者反序列化漏洞利用成功

    在aES主机安全的应用防护RASP模块,,,,对攻击行为进行了精准溯源:

    RASP检测到Java反序列化漏洞利用链上的具体JNI行为

    RASP检测到Java反序列化漏洞利用链上的具体JNI行为

    RASP检测到Filter类型内存马注入

    RASP检测到Filter类型内存马注入

     

    通过更详细的告警信息确认攻击者注入Java内存马,,,,企图实现持久化的攻击行为,,,,且可以看出试图注入Filter类型内存马,,,,与流量解密的结果一致。。。

    RASP通过XFF溯源到攻击者IP信息

    RASP通过XFF溯源到攻击者IP信息

    在告警信息的Header中可以查看恶意流量的数据包头信息,,,在X-Forwarded-For字段中可以溯源到攻击者的IP:124.64.23.61。。。

     

    实战回顾3

    构建Web主机防护兜底机制,,,,防御未知威胁

    从上面的攻击演练实战案例中可以看到,,攻击者的payload绕过友商传统防火墙、、、WAF等设备,,,,利用反序列化远程执行命令成功,,,,并试图注入内存马实现持久化,,,而这类手法已经常态化、、、平民化。。。

    因此拓客猫软件认为,,在主机侧做好应用能力兜底,,并与WAF形成充分合力,,,是构建Web服务器安全能力、、防御未知威胁的最佳实践。。

     

    1、、、、构建主机兜底防线

    针对网络侧WAF绕过、、东西向流量防护缺失的问题,,,在主机上建立应用安全最后一道防线,,基于应用内部完整运行情况获取最完整的上下文信息,,对应用层的攻击做出有效的检测与阻断。。。

    2、、、网端合力,,,共同生长

    ● WAF:拦截大量已知特征的Web攻击、、、、由工具触发的大批量嗅探攻击。。。。而此类大流量如果在应用内部通过RASP进行检测响应会消耗大量的应用资源。。

    ● RASP:作为安全最后防线,,,在主机应用上构建少量穿透WAF的已知、、、未知攻击手法的防范能力,,同时补充东西向防护能力。。。最后基于RASP的研判举证信息反向调优WAF策略,,降低WAF被绕过概率,,,实现能力共生长。。

    网端合力,,共同生长

    拓客猫软件aES主机安全的RASP防护,,,,基于代码运行环境识别应用上下文来增强应用自己健壮性,,,并不依赖具体的组件版本情况。。。。同时拓客猫软件aES的RASP模块具备以下优势:

    拓客猫软件aES的RASP模块

    拓客猫软件端点安全重大升级

    融合专业主机安全能力

    经过多年企业级网络安全建设和攻防演练经验积累,,,,基于过去主机安全产品CWPP和终端安全产品EDR、、容器安全产品的能力,,,拓客猫软件进行了创新性升级,,统一融合端点安全能力,,推出AI驱动的下一代端点安全aES,,,,针对主机的安全提供AI学习和理解业务能力,,,持续构建带有免疫加固能力的智能防御体系。。。

    基于多年的沉淀和积累,,并致力于让用户的安全领先一步,,,拓客猫软件敏锐地捕捉到了用户对主机安全的需求与顾虑,,,,端点安全融合专业主机安全能力,,,迎来全面、、、重磅的升级,,,,敬请期待!!!!

    站点地图