近期,Akamai安全研究團隊從漏洞風險評估、流行程度以及漏洞防範建議等維度,針對六類漏洞展開了系統性分析。面對如下漏洞風險,Akamai建議您應用修補程式,及時更新系統。
盤點9月高風險漏洞,主要分為IKEv1和IPv6兩大IPSec核心協議的三個關鍵遠端代碼執行漏洞。它們藏身於負責處理和解析傳入資料包的代碼流中,存在著被未經身份驗證的攻擊者遠程觸發的高風險,被列為關鍵漏洞,CVSS評分為9.8。
針對IKE這一加密金鑰協商常用協議,同時啟用有IKEv1和IKEv2的Windows Server非常容易受攻擊,建議企業在非應用IPSec期間予以禁用;同理,在不用IPSec時,也建議禁用IPv6。
雖然CRM這類應用程式常作為雲服務來提供,但9月盤點聚焦的兩個關鍵漏洞會涉及本地安裝,CVSS評分為8.8。面對此類漏洞,當務之急應該是進行修補。若不能實現,Akamai建議您使用分段來減少攻擊媒介。兩類分段防護:
- 安全圍欄:限制CRM伺服器工作站訪問範圍,僅允許擁有存取權限員工訪問系統。
- 用戶分段:攻擊需要經過身份驗證的使用者,由此可通過使用者分段實現有效抵禦媒介。
作為API規範的OLE DB和ODBC中,有11個遠端代碼執行漏洞均被標記為重要漏洞,6個漏洞位於SQL伺服器OLE DB提供程式中,其餘5個位於ODBC驅動程式中,CVSS評分為8.8。
防範OLE DB漏洞被濫用,可用分段法。阻截攻擊鏈,可通過建立企業內SQL伺服器允許列表,遮罩外部未知伺服器。而ODBC漏洞會氾濫于Access應用程式,建議企業加強安全等級。
Akamai監控發現,21%的網路至少有一台SharePoint伺服器。SharePoint是基於Web的文檔管理和存儲系統,本次發佈共計4個遠端代碼執行漏洞,3個CVSS評分為8.8,1個評分為8.1。
鑒於啟用4個漏洞需要特定許可權,但耗時費力,因此推薦優先修補伺服器。同時,也可以針對較小的異常登錄情況發出安全警報,或創建SharePoint存取權限的自訂規則。
在高效的進程通信場景中,遠端程序呼叫較為普遍。標準的用戶端/伺服器模式,也是當下技術體系中的常用協定,被應用于多項系統服務之中。
經Akamai監控分析可知,此漏洞僅存在於Windows Server上。攻擊者會借此訪問portmap.sys服務,由此企業需要針對相關區域進行重點防禦。
在常用身份驗證機制Kerberos中,發現了兩個涉及加密降級的漏洞,CVSS評分為8.1。攻擊者通過將攻擊目標和網域控制站間的連接,修改為較弱等級的RC4-md4加密,來破解受害者的Kerberos工作階段金鑰,進而提升許可權。
使用Kerberos Armoring防禦外,漏洞得以暴露還可能是因為模擬攻擊。針對這種情況,建議企業使用IDS或IPS解決方案,建立主動防護機制、減輕部分風險。
截止目前,如上所述概括了9月漏洞特點與相應建議。後續,Akamai還將對相應風險進行持續審查。針對當前已知漏洞與潛在風險,Akamai Guardicore Segmentation正在幫助全球數百個資料中心加強進程級網路監測,及時、全面地洞察網路連接情況,為企業安全團隊防控網路風險提供關鍵性參考,期待與更多公司展開深度合作。