青藤云安全

青藤云安全:2018年主机安全的三大核心问题

2019-04-02

服务器作为承载公司业务及内部运转的底层平台,其稳定、安全地运行是公司的正常发展的前提保障。由于主机上运行着各种各样的业务,会存在着各类漏洞及安全问题。攻击者以此为目标,通过对服务器的攻击来获利,给公司发展造成严重的危害和损失。因此,对于主机操作系统层面的安全问题(包含漏洞及高危配置项)亟需解决。结合2018年度重大攻击事件及企业安全事件的处理,将主机安全问题汇总如下。

攻击者在发起主机层面的攻击时,目的只为获取服务器权限,然后利用权限执行相应操作来获取利益。青藤云安全结合2018年度对于用户主机安全状况调查发现,主要存在以下3大主要安全问题。

系统及应用弱口令

随着企业上云越来越流行,直接暴露在公网的服务器也越来越多,导致业务端口暴露在外的情况时长发生。在这样背景下,暴力破解成为了一种绝佳的攻击方式。攻击者通过对SSH、RDP、FTP、Redis、MySQL等服务端口进行扫描,对可访问的应用服务账号进行暴力破解,从而获取主机权限,进一步攻击整个内网。

目前在互联网中存在大量的攻击主机,扫描系统的弱密码。据不完全统计,大多数企业存在一定量的系统及应用的弱口令,其中123456和应用空口令高居榜首。通过对本年度高级别攻击现象的分析,例如Ddg、Gates等常见木马均是通过自身字典,对目标主机进行暴力破解来获取账户登录权限,从而进行挖矿及DDoS攻击。

2018年最弱密码TOP25

操作系统及应用安全配置项

操作系统弱口令的存在是由工作人员配置不当导致。主机未配置账号密码复杂度,定期修改密码或是仅允许证书登录等配置项,都会导致弱口令的存在。同时,防火墙、SELinux等一些系统应用的配置不当甚至是关闭,也会导致主机存在被攻击的潜在风险。

除此之外,应用部署上线初期,如果管理员疏忽导致未对应用修改默认配置,也会给主机安全带来潜在风险。

例如,Tomcat应用,初始状态默认存在Manager管理页面。操作人员未关闭默认状态或限制访问,攻击者就可通过默认账户登录,然后利用漏洞进行攻击,最终攻陷整个内网。  

Redis应用默认绑定0.0.0.0和空口令,若未修改以上配置,一旦被攻击者发现或蠕虫扫描到,就可以获取服务器权限造成大量的损失。此外,如果存在一些不必要的高权限应用配置,一旦被入侵,攻击者可立即获得高权限。

Tomcat管理页面

操作系统及应用存在漏洞

众所周知,无论操作系统还是应用服务,在版本迭代或代码升级时均会存在不可避免的设计缺陷,导致漏洞的产生。在漏洞爆发后,如果没有及时地进行修补,则会被攻击者利用,造成极大的影响和损失。攻击者利用操作系统或应用漏洞进行攻击的方式,主要包含系统命令执行、权限提升、拒绝服务、数据获取等。例如早期著名的心脏滴血漏洞,可以获取大量敏感数据。之前Windows的MS17-010补丁所修复的漏洞,可以远程命令执行,进而获取服务器高级权限。

同样,应用产生的漏洞更容易被攻击者发现和利用。例如ImageMagick远程命令执行漏洞,在处理图片时会自动执行图片内所包含的恶意代码,从而达到执行系统命令,进一步获取服务器权限等行为。Java反序列化漏洞,在处理数据包时,不合理的处理方式导致应用执行系统命令,从而被上传WebShell或执行反弹Shell等行为,进而被攻击者控制。

心脏滴血漏洞

这些问题产生初期往往不被人重视,管理人员普遍更加关注网络边界的防护而忽略了攻击的本源,导致未在源头进行及时地修复和更改。如果可以有效地提高主机的安全性,就可以大大降低被攻击的风险。

写在最后

主机安全是保护数据安全最后一公里。在确定主机风险评估范围后,就是确认资产的安全状态。通过扫描,输出包括漏洞优先级、应用补丁、软件更新等主要信息的安全报告供安全负责人进行决策。以漏洞检测为例,扫描是发现和修复漏洞的基本过程。虽然市面上所有扫描产品都是通过与已知漏洞数据库进行比对发现风险,但漏洞库的覆盖范围、质量和更新频率却各不相同。同时,传统扫描产品需要在机器上安装和维护软件应用程序,会占用不少资源。相比之下青藤风险评估产品只需在主机中安装一个轻量级Agent(内存占用<40M,CPU占用<1%),就可以在虚拟机、物理机、容器、混合云等各种环境下一键部署。

但是,一次性扫描也只能够输出资产在某一个特定时刻的安全快照,而无法保持实时更新的数据,那么持续监控也就无从说起。为保证企业核心资产的安全,青藤云安全建议企业机构每天多次扫描甚至是持续扫描企业中重要、高价值的资产。

青藤的风险评估产品允许用户连续地、自动地扫描主机中的任何资产,帮助用户获得最新漏洞数据。系统会每天进行一次全局扫描,用户也可自行手动触发全部扫描,也可按业务组、按主机进行扫描。例如,青藤风险评估产品在新漏洞爆发时候,支持24内进行漏洞响应,无需升级系统,通过提供漏洞规则包导入系统,支持用户自行进行该漏洞的检测。因此,用户无需担心扫描技术的更新,都是在系统中自动应用。

预测、防御、检测、响应,让安全一触即达

免费试用
电话沟通
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
免费试用 获取资源