滲透測(cè)試，也稱為五項(xiàng)測(cè)試，是信息技術(shù)（IT）專業(yè)人員搶在網(wǎng)絡(luò)攻擊者之前發(fā)現(xiàn)公司弱點(diǎn)的最有效方法之一。滲透測(cè)試通過模擬真實(shí)世界的網(wǎng)絡(luò)攻擊，可為企業(yè)的安全態(tài)勢(shì)提供了寶貴的洞察力，并可揭示可能導(dǎo)致數(shù)據(jù)泄露或其他安全事件的薄弱環(huán)節(jié)。自動(dòng)網(wǎng)絡(luò)滲透測(cè)試平臺(tái)Vonahi Security通過進(jìn)行10,000 多次自動(dòng)網(wǎng)絡(luò)滲透測(cè)試，分析了1,200 多家企業(yè)的十大內(nèi)部滲透測(cè)試發(fā)現(xiàn)，于近日發(fā)布了《2024 年十大關(guān)鍵滲透測(cè)試結(jié)果》，揭示了2024年值得關(guān)注的10大系統(tǒng)安全缺陷。為了確保企業(yè)系統(tǒng)安全，接下來，我們將深入探討這10大系統(tǒng)安全缺陷，以便更好地了解企業(yè)面臨的常見可利用漏洞以及如何有效解決這些問題。

1、MDNS欺騙

MDNS（Multicast DNS）是一種在小型網(wǎng)絡(luò)中使用的協(xié)議，用于在沒有本地 DNS 服務(wù)器的情況下解析 DNS 名稱。它向本地子網(wǎng)發(fā)送查詢，允許任何系統(tǒng)以請(qǐng)求的 IP 地址作出響應(yīng)。攻擊者可以利用這一點(diǎn)，用自己系統(tǒng)的 IP 地址作出響應(yīng)。

防護(hù)建議：

防止MDNS欺騙的最有效方法是在不使用 mDNS 的情況下將其完全禁用。根據(jù)實(shí)施情況，可以通過禁用Apple Bonjour 或 avahi-daemon 服務(wù)來實(shí)現(xiàn)這一點(diǎn)。

2、NBNS欺騙

NBNS（NetBIOS Name Service，NetBIOS名稱服務(wù)）是內(nèi)部網(wǎng)絡(luò)中使用的一種協(xié)議，用于在 DNS 服務(wù)器不可用時(shí)解析 DNS 名稱。它在網(wǎng)絡(luò)上廣播查詢，任何系統(tǒng)都可以用請(qǐng)求的 IP 地址作出回應(yīng)。攻擊者可利用這一點(diǎn)，用自己系統(tǒng)的 IP 地址作出回應(yīng)。

防護(hù)建議：

以下是在 Windows 環(huán)境中防止使用 NBNS 或減少 NBNS 欺騙攻擊影響的一些策略：

• 配置 UseDnsOnlyForNameResolutions 注冊(cè)表鍵值，以防止系統(tǒng)使用 NBNS 查詢（NetBIOS over TCP/IP 配置參數(shù)）。
• 將注冊(cè)表 DWORD 設(shè)置為禁用內(nèi)部網(wǎng)絡(luò)中所有 Windows 主機(jī)的 NetBIOS 服務(wù)。這可以通過 DHCP 選項(xiàng)、網(wǎng)絡(luò)適配器設(shè)置或注冊(cè)表鍵值來實(shí)現(xiàn)。

3、LLMNR欺騙

LLMNR（Link-Local Multicast Name Resolution，鏈路本地組播名稱解析）是內(nèi)部網(wǎng)絡(luò)中使用的一種協(xié)議，用于在 DNS 服務(wù)器不可用時(shí)解析 DNS 名稱。它在網(wǎng)絡(luò)上廣播查詢，允許任何系統(tǒng)響應(yīng)請(qǐng)求的 IP 地址。攻擊者可利用這一點(diǎn)，用自己系統(tǒng)的 IP 地址作出回應(yīng)。

防護(hù)建議：

防止利用的最有效方法是配置多播名稱解析注冊(cè)表鍵，以防止系統(tǒng)使用 LLMNR 查詢。

• 使用組策略：Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution = Enabled（要管理 Windows 2003 DC，請(qǐng)使用 Windows 7 的遠(yuǎn)程服務(wù)器管理工具）
• 僅使用 Windows Vista/7/10 家庭版的注冊(cè)表：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient \EnableMulticast

4、 IPV6 DNS 欺騙

當(dāng)網(wǎng)絡(luò)上部署了惡意 DHCPv6 服務(wù)器時(shí)，就會(huì)發(fā)生 IPv6 DNS 欺騙。由于 Windows 系統(tǒng)更喜歡使用 IPv6 而不是 IPv4，啟用了 IPv6 的客戶端會(huì)使用可用的 DHCPv6 服務(wù)器。在攻擊過程中，IPv6 DNS 服務(wù)器會(huì)被分配給這些客戶端，而客戶端則保留其 IPv4 配置。這樣，攻擊者就可以通過重新配置客戶端，將攻擊者的系統(tǒng)用作 DNS 服務(wù)器，從而攔截 DNS 請(qǐng)求。

防護(hù)建議：

• 禁用 IPv6，除非業(yè)務(wù)運(yùn)營(yíng)需要它。由于禁用 IPv6 有可能導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷，因此強(qiáng)烈建議在大規(guī)模部署前對(duì)該配置進(jìn)行測(cè)試。
• 另一種解決方案是在網(wǎng)絡(luò)交換機(jī)上實(shí)施 DHCPv6 防護(hù)。從本質(zhì)上講，DHCPv6 防護(hù)可確保只有授權(quán)的 DHCP 服務(wù)器列表才允許向客戶分配租約。

5、過時(shí)的微軟視窗系統(tǒng)

過時(shí)的微軟視窗系統(tǒng)由于不再接收安全更新，很容易受到攻擊。這使它很容易成為攻擊者的目標(biāo)，攻擊者可以利用它的弱點(diǎn)，并有可能轉(zhuǎn)移到網(wǎng)絡(luò)中的其他系統(tǒng)和資源。

防護(hù)建議：

用制造商支持的最新操作系統(tǒng)替換過時(shí)的 Microsoft Windows 版本。

6、IPMI 身份驗(yàn)證繞過

智能平臺(tái)管理界面（IPMI）允許管理員集中管理服務(wù)器。然而，某些服務(wù)器存在漏洞，攻擊者可繞過身份驗(yàn)證并提取密碼哈希值。如果密碼是默認(rèn)的或較弱的，攻擊者就可以獲取明文密碼并進(jìn)行遠(yuǎn)程訪問。

防護(hù)建議

由于此特定漏洞沒有可用的修補(bǔ)程序，建議執(zhí)行以下一項(xiàng)或多項(xiàng)操作：

• 限制 IPMI 對(duì)少數(shù)系統(tǒng)的訪問權(quán)限—這些系統(tǒng)需要為管理目的進(jìn)行訪問。
• 如果業(yè)務(wù)操作不需要 IPMI 服務(wù)，則禁用 IPMI 服務(wù)。
• 將默認(rèn)管理員密碼更改為強(qiáng)大而復(fù)雜的密碼。
• 在服務(wù)上只使用安全協(xié)議，如 HTTPS 和 SSH，以限制攻擊者在中間人攻擊中成功獲取密碼的機(jī)會(huì)。

7、微軟視窗 RCE（BlueKeep）

在測(cè)試過程中發(fā)現(xiàn)了易受 CVE-2019-0708 (BlueKeep) 影響的系統(tǒng)。由于存在可用的工具和代碼，這個(gè) Microsoft Windows 漏洞極易被利用，攻擊者可以完全控制受影響的系統(tǒng)。

防護(hù)建議：

建議在受影響的系統(tǒng)上應(yīng)用安全更新。此外，企業(yè)應(yīng)評(píng)估其修補(bǔ)程序管理計(jì)劃，以確定缺乏安全更新的原因。由于該漏洞是一個(gè)常被利用的漏洞，可能導(dǎo)致大量訪問，因此應(yīng)立即采取補(bǔ)救措施。

8、本地管理員密碼重復(fù)使用

在內(nèi)部滲透測(cè)試中，發(fā)現(xiàn)許多系統(tǒng)共用同一個(gè)本地管理員密碼。破壞一個(gè)本地管理員賬戶就能訪問多個(gè)系統(tǒng)，這大大增加了組織內(nèi)部大范圍破壞的風(fēng)險(xiǎn)。

防護(hù)建議：

使用 Microsoft 本地管理員密碼解決方案 (LDAPS) 等解決方案，確保多個(gè)系統(tǒng)的本地管理員密碼不一致。

9、微軟視窗 RCE (EternalBlue)

在測(cè)試過程中發(fā)現(xiàn)受 MS17-010 (EternalBlue) 影響的系統(tǒng)。由于存在可用的工具和代碼，此 Windows 漏洞極易被利用，允許攻擊者完全控制受影響的系統(tǒng)。

防護(hù)建議：

建議在受影響的系統(tǒng)上應(yīng)用安全更新。此外，企業(yè)應(yīng)評(píng)估其補(bǔ)丁管理程序，以確定缺乏安全更新的原因。由于該漏洞是一個(gè)常被利用的漏洞，可能導(dǎo)致大量訪問，因此應(yīng)立即采取補(bǔ)救措施。

10、Dell EMC IDRAC 7/8 CGI 注入 (CVE-2018-1207)

Dell EMC iDRAC7/iDRAC8 2.52.52.52 之前的版本易受 CVE-2018-1207 的攻擊，這是一個(gè)命令注入問題。這允許未經(jīng)身份驗(yàn)證的攻擊者以 root 權(quán)限執(zhí)行命令，從而完全控制 iDRAC 設(shè)備。

防護(hù)建議：

將固件升級(jí)到可能的最新版本。

總結(jié)

綜合了解2024年值得關(guān)注的10大系統(tǒng)安全缺陷，我們不難發(fā)現(xiàn)一些共同點(diǎn)，那就是企業(yè)系統(tǒng)易受攻擊的根本原因仍然是配置薄弱和補(bǔ)丁缺陷。由此，企業(yè)系統(tǒng)除了采取相應(yīng)的安全防護(hù)措施之外，還需要及時(shí)更新軟件，打好補(bǔ)丁，并加強(qiáng)相關(guān)配置，才能有助于確保企業(yè)系統(tǒng)安全。

資料參考來源：Vonahi Security、thehackernews