新闻中心

    新闻中心  >  实战出击:Web服务器打了补丁依然被突破,他们如何防?
    实战出击:Web服务器打了补丁依然被突破,他们如何防?
    背景图 2023-09-03 11:56:28

    “收到告警,信息中心DMZ区Web服务器被突破!”

    “报告,攻击者是利用了Weblogic T3协议反序列化漏洞进来的。”

    “这是在去年攻防演练就公开过的漏洞,我们也在去年就打上了官方补丁,但目前从攻击者路径看来,补丁是无效的。”

     

    对话发生在某航空企业网络安全部门内。去年,该航空企业正是因为该漏洞丢了不少分,今年漏洞再次被利用,难道又要老戏重演?

    所幸的是,今年攻防演练之前,他们就做好了十足准备,在主机上安装了深信服aES主机安全软件,不仅成功检测到了威胁,也帮助企业获得了大量的溯源得分

    经过这一战,aES主机安全软件的兜底效果获得了该航空企业的高度认可,但网络安全部门负责人心里还存在着很多不解:为什么漏洞打了补丁还可以被利用?实战中还存在着多少这样的“意外情况”?aES怎么来做兜底的呢?在后续的汇报中,他得到了相应的解答。

     

    实战回顾1

    组件版本停止维护,补丁未100%覆盖

    去年与今年,Weblogic T3协议反序列化漏洞被重复利用。去年网络安全部门尝试禁用T3协议,最终因为影响业务而不得不恢复T3协议,转而打官方补丁。

    而在今年的攻防演练中,经过深信服安全专家分析后,给他们提供了该漏洞的具体信息:

    ● 漏洞利用前提:T3/IIOP协议对外开放,jdk版本在1.7.21以下

    ● 该航空企业web服务器环境:WebLogic 10.3.6.0 + 2022年一月份补丁

    Weblogic T3协议反序列化漏洞

    而从2022年开始,Oracle已经不再维护WebLogic 10.3.6.0及以下的版本。

    Oracle已经不再维护WebLogic 10.3.6.0及以下的版本

    官方的建议组合是使用JDK配合weblogic 12/14系列组件版本。

    原来,这一次该航空企业所打的补丁疑似未覆盖到组件使用的小版本,而在该企业尝试下载该组件特定的补丁版本,发现该组件版已经停止维护。

    经过分析后,网络安全部门负责人也意识到,这样的“意外情况”在实战中其实屡见不鲜,原因有二:

    ● 组件小版本众多,对使用者而言,很难看到某个组件小版本的风险情况,是否停更等

    ● 针对某一类型的web攻击,通过打补丁的方式无法100%覆盖到众多组件版本

     

    实战回顾2

    aES主机安全应用防护RASP,精准溯源攻击行为

    为什么本次攻防演练能够成功防住该漏洞利用,且能举证详细的原因?我们一起来看看整体过程:

    攻防演练能够成功防住该漏洞利用

    首先,深信服态势感知上捕获到针对该web服务器的weblogic T3漏洞利用以及Java内存马注入流量告警,但只能看到是内网的负载均衡向服务器发起攻击,此时如果想要从防火墙和态势感知流量日志中溯源攻击者IP无异于大海捞针。

    其次,由于在主机上安装了aES主机安全,在高级威胁IOA模块中成功检测到探测环境信息的命令,结合态势感知告警,可以确认攻击者反序列化漏洞利用成功

    确认攻击者反序列化漏洞利用成功

    在aES主机安全的应用防护RASP模块,对攻击行为进行了精准溯源

    RASP检测到Java反序列化漏洞利用链上的具体JNI行为

    RASP检测到Java反序列化漏洞利用链上的具体JNI行为

    RASP检测到Filter类型内存马注入

    RASP检测到Filter类型内存马注入

     

    通过更详细的告警信息确认攻击者注入Java内存马,企图实现持久化的攻击行为,且可以看出试图注入Filter类型内存马,与流量解密的结果一致。

    RASP通过XFF溯源到攻击者IP信息

    RASP通过XFF溯源到攻击者IP信息

    在告警信息的Header中可以查看恶意流量的数据包头信息,在X-Forwarded-For字段中可以溯源到攻击者的IP:124.64.23.61。

     

    实战回顾3

    构建Web主机防护兜底机制,防御未知威胁

    从上面的攻击演练实战案例中可以看到,攻击者的payload绕过友商传统防火墙、WAF等设备,利用反序列化远程执行命令成功,并试图注入内存马实现持久化,而这类手法已经常态化、平民化。

    因此深信服认为,在主机侧做好应用能力兜底,并与WAF形成充分合力,是构建Web服务器安全能力、防御未知威胁的最佳实践。

     

    1、构建主机兜底防线

    针对网络侧WAF绕过、东西向流量防护缺失的问题,在主机上建立应用安全最后一道防线,基于应用内部完整运行情况获取最完整的上下文信息,对应用层的攻击做出有效的检测与阻断。

    2、网端合力,共同生长

    ● WAF:拦截大量已知特征的Web攻击、由工具触发的大批量嗅探攻击。而此类大流量如果在应用内部通过RASP进行检测响应会消耗大量的应用资源。

    ● RASP:作为安全最后防线,在主机应用上构建少量穿透WAF的已知、未知攻击手法的防范能力,同时补充东西向防护能力。最后基于RASP的研判举证信息反向调优WAF策略,降低WAF被绕过概率,实现能力共生长。

    网端合力,共同生长

    深信服aES主机安全的RASP防护,基于代码运行环境识别应用上下文来增强应用自己健壮性,并不依赖具体的组件版本情况。同时深信服aES的RASP模块具备以下优势:

    深信服aES的RASP模块

    深信服端点安全重大升级

    融合专业主机安全能力

    经过多年企业级网络安全建设和攻防演练经验积累,基于过去主机安全产品CWPP和终端安全产品EDR、容器安全产品的能力,深信服进行了创新性升级,统一融合端点安全能力,推出AI驱动的下一代端点安全aES,针对主机的安全提供AI学习和理解业务能力,持续构建带有免疫加固能力的智能防御体系。

    基于多年的沉淀和积累,并致力于让用户的安全领先一步,深信服敏锐地捕捉到了用户对主机安全的需求与顾虑,端点安全融合专业主机安全能力,迎来全面、重磅的升级,敬请期待!