日前,自动化网络安全渗透测试平台Vonahi Security发布了2024年度《渗透测试活动中的重大发现》报告,基于对超过1000家企业组织近万次自动化网络渗透测试活动的研究分析,研究人员总结了当前企业网络系统在渗透测试过程中最容易被利用的10大安全弱点。尽管这些弱点是由不同的安全漏洞引发,但却有许多的相似共同点。配置缺陷和补丁管理不足仍然是导致许多重大威胁隐患的主要原因。
1. MDNS欺骗
MDNS是一种用于小型网络的DNS名称解析协议,无需本地DNS服务器。它向本地子网发送查询,允许任何系统使用请求的IP地址进行响应。通过大量的渗透测试活动发现,MDNS协议很容易被攻击者利用,伪造使用自己系统的IP地址来进行响应。
防护建议:
防止MDNS欺骗的最有效方法是,如果MDNS未被使用,就应该将其禁用,这可以通过禁用Apple Bonjour或avahi-daemon服务来实现。
2.NBNS欺骗
NBNS(NetBIOS名称服务)是一种当DNS服务器不可用时,内部网络中用于解析DNS名称的协议。它可以通过网络广播方式进行查询,任何系统都可以使用请求的IP地址进行响应。NBNS协议也经常会被攻击者利用,他们会使用自己系统的IP地址进行非法响应。
防护建议:
以下几个策略可以防止或减小NBNS欺骗攻击的影响:
- 配置UseDnsOnlyForNameResolutions注册表项,以便防止系统使用NBNS查询(NetBIOS over TCP/IP配置参数),将注册表项DWORD设置为1。
- 禁用内部网络中所有Windows主机的NetBIOS服务。这可以通过DHCP选项、网络适配器设置或注册表项来完成。
3.LLMNR欺骗
从 Windows Vista 起,Windows 操作系统开始支持一种新的名称解析协议 —— LLMNR(链路本地多播名称解析),主要用于局域网中的名称解析。LLMNR 能够很好的支持 IPv4 和 IPv6,因此在 Windows 名称解析顺序中是一个仅次于 DNS 的名称解析方式,更重要的是在 Linux 操作系统中也实现了 LLMNR。通过渗透测试发现,LLMNR很容易被攻击者所利用,他们可以使用自己系统的IP地址进行非法响应。
防护建议:
防止LLMNR欺骗的有效方法是配置多播名称解析注册表项,以防止系统使用LLMNR查询。
- 使用组策略:Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution=Enabled(若要管理Windows 2003 DC,请使用Windows 7版远程服务器管理工具)。
- 使用只适用于Windows Vista/7/10家庭版的注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticast。
4.IPV6 DNS欺骗
当未授权的DHCPv6服务器部署在网络上时,会出现IPv6 DNS欺骗。由于Windows系统偏爱IPv6而不是IPv4,启用IPv6的客户端将优先使用DHCPv6服务器(如果可用)。在攻击过程中,IPv6 DNS服务器会被恶意分配给这些客户端,同时保持它们的IPv4配置。这便于攻击者通过重新配置客户端以使用攻击者的系统作为DNS服务器来拦截DNS请求。
防护建议:
如果业务不需要,应该禁用IPv6。由于禁用IPv6可能导致网络服务中断,因此强烈建议在大规模部署之前测试这项配置。如果需要使用IPv6,则应该在网络交换机上实施DHCPv6保护机制。实际上,DHCPv6保护机制确保只允许授权的DHCP服务器列表将租约(lease)分配给客户端。
5.老旧的Windows操作系统
老旧的Windows操作系统不会得到厂商的维护和安全更新,因此其中的安全漏洞很容易被攻击者所利用。在大量的渗透测试中发现,老旧的Windows操作系统很容易成为攻击者的目标,攻击者可以利用其弱点,转而攻击网络中的其他系统和资源。
防护建议:
组织应及时梳理掌握过时的Windows版本,采取针对性的防护,并在可能的情况下,尽快替换成有厂商支持的最新操作系统版本。
6.IPMI旁路身份验证
IPMI是智能型平台管理接口 (Intelligent Platform Management Interface) 。用户可以利用IPMI监视服务器的物理特征,如温度、电压、电扇工作状态、电源供应以及机箱入侵等。IPMI的一大特点在于它是独立于CPU、BIOS和OS的,所以用户无论在开机还是关机的状态下,只要接通电源就可以实现对服务器的监控。然而,通过旁路身份验证方式,攻击者可以利用IPMI来绕过服务器的身份验证环节,并提取密码哈希。特别当密码是默认密码或弱密码时,攻击者就可以获取明文密码,并远程访问。
防护建议:
目前,针对IPMI旁路身份验证还没有针对性的补丁,建议组织执行以下一个或多个操作。
- 将IPMI访问限制于数量有限的系统上,即出于管理目的必需要访问的系统。
- 如果业务不需要IPMI服务,应立即禁用该服务。
- 将默认管理员密码改为复杂的强密码。
- 服务只使用安全协议,比如HTTPS和SSH,以限制攻击者在中间人攻击中成功获取访问密码的机会。
7.Windows RCE(BlueKeep)
BlueKeep(CVE-2019-0708)是一个在2019年被发现的高危级安全漏洞,曾经广泛影响了数百万台计算机设备。然而在最近的渗透测试活动中,研究人员仍然发现在很多企业中仍然会大量存在BlueKeep安全缺陷的系统。由于缺乏可用的工具和代码,这个Windows安全缺陷会给用户系统带来严重的损害,允许攻击者完全控制受影响的系统。
防护建议:
由于该安全缺陷经常被利用,并可能导致被滥用,因此应立即修复。修复方式很简单,只要在受影响的系统上部署安全更新,就可以有效防范该漏洞。但是,组织应该评估现有的补丁管理流程,找到为何会遗漏相关安全更新的原因。
8.本地管理员密码重用
在内部渗透测试期间,研究人员发现许多系统共享相同的本地管理员密码。如果攻击者窃取了一个本地管理员帐户,就可以成功访问到多个系统,这大大增加了组织内部大范围遭到攻击的风险。
防护建议:
使用微软LDAPS之类的密码管理解决方案,以确保多个系统上的本地管理员密码不一致,并按时对密码进行更新。
9.Windows RCE(EternalBlue)
和BlueKeep安全漏洞一样,在渗透测试过程中,研究人员发现了大量易受EternalBlue(永恒之蓝)漏洞利用攻击的系统。这是一个在2017年被发现的漏洞,曾经影响非常广泛,可以让攻击者完全控制受影响的系统。
防护建议:
在受影响的系统上部署安全更新即可。但是,组织应该评估现有的补丁管理程序,以确定未能及时进行安全更新的原因。
10.Dell EMC IDRAC 7/8 CGI注入
iDRAC 是位于服务器主板上的硬件,允许系统管理员更新和管理戴尔系统,即使在服务器关闭时也是如此。iDRAC 还提供了 Web 界面和命令行界面,使管理员可以执行远程管理任务。几乎所有当前的戴尔服务器都具有iDRAC选项。渗透测试人员发现,2.52.52.52之前的Dell EMC iDRAC7/iDRAC8版本易受CVE-2018-1207命令注入漏洞的影响。这允许未经身份验证的攻击者以root权限执行命令,从而使他们能够完全控制iDRAC设备。
防护建议:
尽快将固件升级到最新版本。
参考链接:https://thehackernews.com/2024/06/top-10-critical-pentest-findings-2024.html
