网站遭到攻击以及各种数据泄露事故(例如Anonymous攻击排名前100的大学)让企业疑惑这些攻击者是如何侵入系统以及为什么这么容易攻击。这些遭受攻击的不同企业中存在哪些常见漏洞?攻击者最常利用的漏洞是哪些?
我们询问了很多渗透测试人员,他们通常能够利用哪些主要漏洞,这些渗透测试人员有些在大学和企业环境工作,有些是每周为各种类型客户执行渗透测试的全职安全顾问。
这些渗透测试人员几乎都有类似的漏洞清单。每份清单的最前面都是SQL注入、跨站脚本(XSS)或者不安全的网站。令人惊讶吗?不尽然。通常情况下,Anonymous选择入侵的方法主要是通过SQL注入。一旦web服务器和底层数据库服务器受到破坏,就很容易利用这些服务器的信任关系,并存储密码来攻击其他目标。
Include Security公司的高级安全分析师Christian von Kleist表示,在外部渗透测试中,web服务器通常是他最先注意到的。他表示:“我的很多渗透测试获得成功,只是因为我能够利用网络中不安全的web应用程序。”
当von Kleist被问到为什么他认为web应用程序通常布满漏洞时,他表示,那些创建这些软件和保护网络的人员之间存在断层。“他们独立工作,在开发软件过程中很少涉及安全性,最终结果就是开发过程中的漏洞将部署到生产环境。”
还有哪些漏洞榜上有名呢?包括应用服务器、网络设备和内容管理系统暴露的行政和管理界面,其次是设备打印机和视频会议系统泄漏的信息;过时的和/或不受支持的软件,通常还具有不安全的默认配置;以及暴露的web服务。
Secure Ideas公司高级安全顾问Kevin Johnson表示:“我们经常会发现,行政或管理界面能够被外部攻击者看到。”一些例子包括:JBoss、Tomcat和ColdFusion的基于web的管理界面,以及SSH和SNMP等管理服务。
Johnson表示,经常被安装的软件数据包包括ColdFusion或者JBoss服务器,而没有意识到这些服务器包括管理员控制台。Christian表示:“这些管理控制台通常使用默认登录凭证,或者存在常见漏洞。”
除了意外暴露的管理界面,渗透测试者还利用了来自互联网网络设备泄露的信息,包括打印机和视频会议系统泄露的信息。由于打印机和视频会议系统通常使用默认登录凭证或者干脆没有设置密码,攻击者可以窃取用户名、密码和内部IP地址,甚至对内部系统发动攻击。
去年,Rapid 7公司的首席安全观HD Moore演示了如何通过网络扫描来轻松地识别视频会议系统。他发现互联网中5000个系统正在等待自动接听呼叫。其中一些,他能够“窃听附近的谈话以及记录周围环境的视频—甚至查看20英尺外笔记本屏幕上的电子邮件。”
网站遭到攻击以及各种数据泄露事故(例如Anonymous攻击排名前100的大学)让企业疑惑这些攻击者是如何侵入系统以及为什么这么容易攻击。这些遭受攻击的不同企业中存在哪些常见漏洞?攻击者最常利用的漏洞是哪些?
我们询问了很多渗透测试人员,他们通常能够利用哪些主要漏洞,这些渗透测试人员有些在大学和企业环境工作,有些是每周为各种类型客户执行渗透测试的全职安全顾问。
这些渗透测试人员几乎都有类似的漏洞清单。每份清单的最前面都是SQL注入、跨站脚本(XSS)或者不安全的网站。令人惊讶吗?不尽然。通常情况下,Anonymous选择入侵的方法主要是通过SQL注入。一旦web服务器和底层数据库服务器受到破坏,就很容易利用这些服务器的信任关系,并存储密码来攻击其他目标。
Include Security公司的高级安全分析师Christian von Kleist表示,在外部渗透测试中,web服务器通常是他最先注意到的。他表示:“我的很多渗透测试获得成功,只是因为我能够利用网络中不安全的web应用程序。”
当von Kleist被问到为什么他认为web应用程序通常布满漏洞时,他表示,那些创建这些软件和保护网络的人员之间存在断层。“他们独立工作,在开发软件过程中很少涉及安全性,最终结果就是开发过程中的漏洞将部署到生产环境。”
还有哪些漏洞榜上有名呢?包括应用服务器、网络设备和内容管理系统暴露的行政和管理界面,其次是设备打印机和视频会议系统泄漏的信息;过时的和/或不受支持的软件,通常还具有不安全的默认配置;以及暴露的web服务。
Secure Ideas公司高级安全顾问Kevin Johnson表示:“我们经常会发现,行政或管理界面能够被外部攻击者看到。”一些例子包括:JBoss、Tomcat和ColdFusion的基于web的管理界面,以及SSH和SNMP等管理服务。
Johnson表示,经常被安装的软件数据包包括ColdFusion或者JBoss服务器,而没有意识到这些服务器包括管理员控制台。Christian表示:“这些管理控制台通常使用默认登录凭证,或者存在常见漏洞。”
除了意外暴露的管理界面,渗透测试者还利用了来自互联网网络设备泄露的信息,包括打印机和视频会议系统泄露的信息。由于打印机和视频会议系统通常使用默认登录凭证或者干脆没有设置密码,攻击者可以窃取用户名、密码和内部IP地址,甚至对内部系统发动攻击。
去年,Rapid 7公司的首席安全观HD Moore演示了如何通过网络扫描来轻松地识别视频会议系统。他发现互联网中5000个系统正在等待自动接听呼叫。其中一些,他能够“窃听附近的谈话以及记录周围环境的视频—甚至查看20英尺外笔记本屏幕上的电子邮件。”
Secure Ideas公司的Johnson表示,最糟糕的事情之一是web服务或者业务以及端点的暴露。
“这些服务通常由业务合作伙伴或者应用程序使用,例如营销部门使用的移动应用程序,”他表示,“由于这些端点被设计为使用客户端应用程序来通信,而不是直接通过用户,开发人员通常认为这些只需要较少的控制,因为应用程序时‘值得信赖的’。”
为什么大家担心暴露的web服务?Johnson表示,缺乏安全控制让它们很容易成为攻击者的切入点。在他们的渗透测试中,他们可以直接展示被成功利用的漏洞带来的业务影响。
当然,最大的问题是企业应该如何解决这些问题,这样他们就不会成为攻击目标?在几乎所有情况下,知道网络上有些什么是至关重要的。安全团队应该定期进行网络扫描以识别新的系统和服务。
企业存在的常见问题是不知道哪些是外部可以访问的。除了定期的漏洞扫描(以发现最常见的漏洞)外,企业需要采取措施以扫描所有新主机和服务的面向外部的IP地址。除了定期扫描,在web应用程序的开发、采购和部署过程,应该更多地考虑安全因素,但我们都知道,这件事情说起来容易,做起来难。