网络安全漏洞知识介绍

    作者:课课家教育更新于: 2017-03-31 18:42:54

      一个较为通俗的网络漏洞的描述性定义是:存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

    网络安全漏洞知识介绍_网络安全技术_网络工程师_网络规划设计师_课课家教育

         最近几年可谓是中国信息安全元年,这一年里信息与网络安全领域里发生了很多重大事件。最重要的莫过于2014年2月27日,中央网络安全和信息化领导小组宣告成立,习近平担任组长。这个事件标志安全已经上升到国家战略高度。这也让每一位中国安全行业的从业者,看到安全产业蓬勃发展的美好前景。

      从另一个角度上来说,对于安全行业来说,2014年又是不平静的一年。2014年高危漏洞频发。心脏滴血(Heartbleed)漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光,震动了整个互联网,甚至有人称这些漏洞带给互联网的是一场灭顶之灾。

      然而,互联网安全经过2014年的洗礼,非但没有“灭亡”,反而更加健康。再晴朗的天空也总可能会有那么一丝阴霾,尽管挥之不去,但仍旧无法遮挡灿烂的阳光。

      阿里云安全团队在2014年底收集和整理了去年一年曝光的安全漏洞,从数千个漏洞中评选出“影响2014年互联网的十大安全漏洞”,与大家分享。

      漏洞总结

      1、2014年CVE漏洞分布

      2014年互联网十大安全漏洞及思考

      从上图来看,2014年曝出的安全漏洞中,敏感信息泄露类漏洞数量最多,超过了2000个,这说明黑客对用户信息的关注,侵犯了用户信息的隐私性。拒绝服务类(DoS)漏洞数量紧跟其后,超过了1500个。通过拒绝服务攻击,可以破坏业务的可用性和稳定性。此外,远程代码执行漏洞数量也非常多。

      2、CVE漏洞总数趋势

      2014年互联网十大安全漏洞及思考

      从上图来看,2014年曝出的安全漏洞,从数量上创造了一个历史之最。很难说这是一个好或是不好的结果。好的一方面是安全越来越被重视,漏洞不断挖掘和曝光出来,而漏洞的不断修复可以很大程度上提升系统的安全性;不好的一方面是安全威胁的形势越来越严峻,随着漏洞数量的增加,特别对于企业来说,安全维护团队的压力越来越大。一个新漏洞被曝光,如果不能在第一时间尽快修复这个漏洞,很可能就会失去与黑客攻防大战的先机,处于被动的地位。

      面对如此严峻的漏洞威胁形势,云计算用户和云服务提供商的安全团队必须是一个防护整体,能否在第一时间获得漏洞的预警,能否在第一时间完成云平台防护系统有效防御部署,是对这个防护整体的挑战。

      2014年十大安全漏洞

      2014年十大安全漏洞如下,排名不分先后:

      1、Heartbleed漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-0160

      【漏洞发现时间】

      2014年4月份

      【漏洞描述】

      在OpenSSL1.0.1before1.0.1g中的TLS和DTLS实现中,由于不能正确处理心跳扩展包,导致允许远程攻击者通过触发缓冲区的包获得进程内存的敏感信息。

      【漏洞危害】

      导致服务器私钥以及泄露会话Session、cookie、账号密码等敏感信息。

      2、Shellshock(BASH)漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-6271

      【漏洞发现时间】

      2014年9月

      【漏洞描述】

      GNUBash4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用Bashshell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。

    GNUBash4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用Bashshell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。

      【漏洞危害】

      可以直接在Bash支持的WebCGI环境下远程执行任何命令,另外此漏洞可能会影响到使用ForceCommand功能的OpenSSHsshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用Bash作为解释器的应用等。

      3、SSL3.0POODLE漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-3566

      【漏洞发现时间】

      2014年10月

      【漏洞描述】

      Poodle攻击的原理,就是黑客故意制造安全协议连接失败的情况,触发浏览器的降级使用SSL3.0,然后使用特殊的手段,从SSL3.0覆盖的安全连接下提取到一定字节长度的隐私信息。

      【漏洞危害】

      攻击者可以利用此漏洞获取受害者的https请求中的敏感信息,如cookies等信息。

      4、MicrosoftKerberOS权限提升漏洞:

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-6324

      【漏洞发现时间】

      2014年12月

      【漏洞描述】

      WindowsKerberos对kerberostickets中的PAC(PrivilegeAttributeCertificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过KerberosKDC(KeyDistributionCenter)的验证,攻击成功使得攻击者可以提升权限,获取域管理权限。

      【漏洞危害】

      利用一个普通的域账号,提升自己的权限到域控管理员。

      5、BadUSB

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      无

      【漏洞发现时间】

      2014年7月

      【漏洞描述】

      一个BADUSB设备可以模仿登录用户的键盘或发出命令,例如exfiltrate文件或安装恶意软件。这样的恶意软件,反过来,可以感染的计算机连接的其他USB设备控制器芯片。该设备还可以欺骗网卡和更改计算机的DNS设置将流量重定向。

      【漏洞危害】

      BadUSB最大危险之处在于很难被查觉,哪怕是防病毒软件也不能发现它。

      6、IE通杀代码执行漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-6332

      【漏洞发现时间】

      2014年11月

      【漏洞描述】

      MicrosoftWindowsServer2003SP2,WindowsVistaSP2,WindowsServer2008SP2/R2SP1,Windows7SP1,Windows8,Windows8.1,WindowsServer2012Gold/R2,WindowsRTGold/8.1版本在实现上存在WindowsOLE自动化数组远程代码执行漏洞,远程攻击者利用此漏洞通过构造的网站执行任意代码。

      【漏洞危害】

      对于黑客,他们通过网站挂马,可以直接批量控制中马用户的计算机,不仅可以盗取各类账号(邮箱、游戏、网络支付),还可以进行交易劫持等其他利益用途。

      7、MicrosoftWindows全版本提权漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-4113

      【漏洞发现时间】

      2014年10月

      【漏洞描述】

      如果攻击者诱使用户打开特制文档或访问包含嵌入TrueType字体的不受信任的网站,则其中较为严重的漏洞可能允许远程执行代码。但是在所有情况下,攻击者无法强制用户执行这些操作。相反,攻击者必须说服用户这样做,方法通常是让用户单击电子邮件或InstantMessenger消息中的链接。

      【漏洞危害】

      以普通用户权限运行漏洞利用程序成功后,从普通用户权限提升到了系统system最高权限。

      8、NTP远程代码执行以及拒绝服务攻击漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296

      【漏洞发现时间】

      2014年12月

      【漏洞描述】

      网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。

      (1)其中CVE-2014-9293漏洞详情为:如果在配置文件ntp.conf中ntpdc没有指定申请认证密钥,NTPD会自动生成弱密钥。远程攻击者能够通过匹配这些限制的IP地址来猜解出生成的密钥,并有可能用它来发送ntpdc查询或配置请求。

      (2)其中CVE-2014-9294漏洞详情为:NTP密钥生成器,使用一种不安全的算法来生成md5值。这可能允许攻击者猜到生成的MD5密钥,然后用于欺骗NTP客户端或服务器。注:对于使用NTP-注册机生成的密钥,建议重新生成MD5密钥。默认安装不包含这些键值。

      (3)其中CVE-2014-9295漏洞详情为:在NTPD的函数crypto_recv()、ctl_putdata()和configure()中存在多个缓冲区溢出漏洞。远程攻击者可以利用这些漏洞发送精心构造的数据包,导致NTPD崩溃,甚至使用NTP用户权限执行任意代码。注:crypto_recv()函数的漏洞利用,需要是在用的非默认配置,而ctl_putdata函数()的漏洞利用,在默认情况下,只能通过本地攻击者被利用。并且configure()函数的漏洞利用需要其他身份验证利用。

      (4)其中CVE-2014-9296漏洞详情为:在receive()函数中缺少具体返回状态,从而使远程攻击者有绕过NTP认证机制的可能。

      【漏洞危害】

      造成NTPD拒绝服务攻击以及造成缓冲区溢出漏洞导致的代码执行漏洞。

      9、Adobe堆缓冲区溢出漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-0561

      【漏洞发现时间】

      2014年9月

      【漏洞描述】

      AdobeReader以及AdobeAcrobat存在堆溢出漏洞,成功利用后可导致代码执行。

      【漏洞危害】

      利用有漏洞的AdobeReader和AdobeAcrobat攻击操作系统,获取相应的权限。

      10、Microsoft.NETFramework远程权限提升漏洞

      2014年互联网十大安全漏洞及思考

      【CVE编号】

      CVE-2014-4149

      【漏洞发现时间】

      2014年11月

      【漏洞描述】

      Microsoft.NETFramework1.1SP1,2.0SP2,3.5,3.5.1,4,4.5,4.5.1,4.5.2版本没有正确执行TypeFilterLevel检查,远程攻击者通过向.NETRemoting端点发送构造的数据,利用此漏洞可执行任意代码。

      【漏洞危害】

      利用有漏洞的.NETFramework获取服务器权限。

      漏洞防护的思考

      在上文中,我们提到了面对漏洞威胁和黑客的攻击时,云计算用户和云服务提供商的安全团队是一个整体。这是一场关乎生死的大战,也是一场与时间的赛跑。从时间角度上讲,有两个关键的因素:什么时候获得漏洞的资讯以及什么时候完成漏洞的修复。

      首先,当一个漏洞被曝光出来时,能否在第一时间获得漏洞的资讯是一个关键。在第一时间获取漏洞的情报可以保证和绝大多数的攻击者至少保持在同一个起跑线上。越晚获得漏洞的信息就意味着起跑时间的延后。第二,即便在第一时间获取了漏洞信息,能否及时修复也是成败的关键。

    在上文中,我们提到了面对漏洞威胁和黑客的攻击时,云计算用户和云服务提供商的安全团队是一个整体。这是一场关乎生死的大战,也是一场与时间的赛跑。从时间角度上讲,有两个关键的因素:什么时候获得漏洞的资讯以及什么时候完成漏洞的修复。    首先,当一个漏洞被曝光出来时,能否在第一时间获得漏洞的资讯是一个关键。在第一时间获取漏洞的情报可以保证和绝大多数的攻击者至少保持在同一个起跑线上。越晚获得漏洞的信息就意味着起跑时间的延后。第二,即便在第一时间获取了漏洞信息,能否及时修复也是成败的关键。

      对于云计算服务提供商来说,安全团队不仅是一个运行和维护团队,还需要有专业的安全研究小组,负责跟踪和获取最新的漏洞情报。当一个漏洞被曝光出来时,安全研究人员会迅速对漏洞进行分析,获取漏洞攻击的手段并研究防护的策略。当确认漏洞的攻击手段后,用户运营团队需要通过微博、论坛、官方网站等诸多手段发布漏洞预警信息,提醒云计算用户关注该漏洞的存在。与此同时,为了验证漏洞在云计算平台上的存在和分布状况,还需要对全体云计算用户进行全网扫描,发现存在该漏洞的用户。

      依照阿里云云盾的运营经验,接下来的处理可以分成两个场景来进行。

      第一个场景,云端防护。如果漏洞防护可以通过云平台的Web防护系统实现攻击行为的阻断,那么运营团队就必须要在第一时间更新Web防护系统的防护规则,实现漏洞在云平台层面的防护。在这个场景下,即便用户系统中存在该漏洞,但是由于云端防护系统已经可以防护利用该漏洞的攻击行为,用户系统可以仍得到有效防护。必须要注意的是,安全团队还需要通过监控检验防护的效果,确保对该漏洞利用行为的阻断。

      第二个场景,用户端防护。如果漏洞的防护必须需要用户通过升级补丁才可以实现,则用户运营团队需要通过电子邮件和短信的方式对存在该漏洞的用户进行一对一的漏洞预警信息推送。接收到信息的用户可以依据预警信息中的指导完成漏洞的修复。对于后一种情况,为了保证漏洞的及时有效修复,运营团队还要在预警信息发布后的一段时间内再次进行漏洞的扫描,确认漏洞已被有效修复。

      因此,不管对于哪一种场景,对于一个提供云计算安全防护的平台来说,漏洞的防护都必须是一个快速和闭环的过程。

      网络漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。

      漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。

      因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的操作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。

      同时应该看到,对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,即使是以前所作的工作也会逐渐失去价值。

      更多详细内容,尽在课课家教育,我们期待您的咨询!

课课家教育

未登录

1