日前，自動化網(wǎng)絡(luò)安全滲透測試平臺Vonahi Security發(fā)布了2024年度《滲透測試活動中的重大發(fā)現(xiàn)》報告，基于對超過1000家企業(yè)組織近萬次自動化網(wǎng)絡(luò)滲透測試活動的研究分析，研究人員總結(jié)了當(dāng)前企業(yè)網(wǎng)絡(luò)系統(tǒng)在滲透測試過程中最容易被利用的10大安全弱點。盡管這些弱點是由不同的安全漏洞引發(fā)，但卻有許多的相似共同點。配置缺陷和補丁管理不足仍然是導(dǎo)致許多重大威脅隱患的主要原因。

1. MDNS欺騙

MDNS是一種用于小型網(wǎng)絡(luò)的DNS名稱解析協(xié)議，無需本地DNS服務(wù)器。它向本地子網(wǎng)發(fā)送查詢，允許任何系統(tǒng)使用請求的IP地址進行響應(yīng)。通過大量的滲透測試活動發(fā)現(xiàn)，MDNS協(xié)議很容易被攻擊者利用，偽造使用自己系統(tǒng)的IP地址來進行響應(yīng)。

防護建議：

防止MDNS欺騙的最有效方法是，如果MDNS未被使用，就應(yīng)該將其禁用，這可以通過禁用Apple Bonjour或avahi-daemon服務(wù)來實現(xiàn)。

2.NBNS欺騙

NBNS（NetBIOS名稱服務(wù)）是一種當(dāng)DNS服務(wù)器不可用時，內(nèi)部網(wǎng)絡(luò)中用于解析DNS名稱的協(xié)議。它可以通過網(wǎng)絡(luò)廣播方式進行查詢，任何系統(tǒng)都可以使用請求的IP地址進行響應(yīng)。NBNS協(xié)議也經(jīng)常會被攻擊者利用，他們會使用自己系統(tǒng)的IP地址進行非法響應(yīng)。

防護建議：

以下幾個策略可以防止或減小NBNS欺騙攻擊的影響：

• 配置UseDnsOnlyForNameResolutions注冊表項，以便防止系統(tǒng)使用NBNS查詢（NetBIOS over TCP/IP配置參數(shù)），將注冊表項DWORD設(shè)置為1。
• 禁用內(nèi)部網(wǎng)絡(luò)中所有Windows主機的NetBIOS服務(wù)。這可以通過DHCP選項、網(wǎng)絡(luò)適配器設(shè)置或注冊表項來完成。

3.LLMNR欺騙

從 Windows Vista 起，Windows 操作系統(tǒng)開始支持一種新的名稱解析協(xié)議 —— LLMNR（鏈路本地多播名稱解析），主要用于局域網(wǎng)中的名稱解析。LLMNR 能夠很好的支持 IPv4 和 IPv6，因此在 Windows 名稱解析順序中是一個僅次于 DNS 的名稱解析方式，更重要的是在 Linux 操作系統(tǒng)中也實現(xiàn)了 LLMNR。通過滲透測試發(fā)現(xiàn)，LLMNR很容易被攻擊者所利用，他們可以使用自己系統(tǒng)的IP地址進行非法響應(yīng)。

防護建議：

防止LLMNR欺騙的有效方法是配置多播名稱解析注冊表項，以防止系統(tǒng)使用LLMNR查詢。

• 使用組策略：Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution=Enabled（若要管理Windows 2003 DC，請使用Windows 7版遠程服務(wù)器管理工具）。
• 使用只適用于Windows Vista/7/10家庭版的注冊表項：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticast。

4.IPV6  DNS欺騙

當(dāng)未授權(quán)的DHCPv6服務(wù)器部署在網(wǎng)絡(luò)上時，會出現(xiàn)IPv6 DNS欺騙。由于Windows系統(tǒng)偏愛IPv6而不是IPv4，啟用IPv6的客戶端將優(yōu)先使用DHCPv6服務(wù)器（如果可用）。在攻擊過程中，IPv6 DNS服務(wù)器會被惡意分配給這些客戶端，同時保持它們的IPv4配置。這便于攻擊者通過重新配置客戶端以使用攻擊者的系統(tǒng)作為DNS服務(wù)器來攔截DNS請求。

防護建議：

如果業(yè)務(wù)不需要，應(yīng)該禁用IPv6。由于禁用IPv6可能導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷，因此強烈建議在大規(guī)模部署之前測試這項配置。如果需要使用IPv6，則應(yīng)該在網(wǎng)絡(luò)交換機上實施DHCPv6保護機制。實際上，DHCPv6保護機制確保只允許授權(quán)的DHCP服務(wù)器列表將租約（lease）分配給客戶端。

5.老舊的Windows操作系統(tǒng)

老舊的Windows操作系統(tǒng)不會得到廠商的維護和安全更新，因此其中的安全漏洞很容易被攻擊者所利用。在大量的滲透測試中發(fā)現(xiàn)，老舊的Windows操作系統(tǒng)很容易成為攻擊者的目標(biāo)，攻擊者可以利用其弱點，轉(zhuǎn)而攻擊網(wǎng)絡(luò)中的其他系統(tǒng)和資源。

防護建議：

組織應(yīng)及時梳理掌握過時的Windows版本，采取針對性的防護，并在可能的情況下，盡快替換成有廠商支持的最新操作系統(tǒng)版本。

6.IPMI旁路身份驗證

IPMI是智能型平臺管理接口 (Intelligent Platform Management Interface) 。用戶可以利用IPMI監(jiān)視服務(wù)器的物理特征，如溫度、電壓、電扇工作狀態(tài)、電源供應(yīng)以及機箱入侵等。IPMI的一大特點在于它是獨立于CPU、BIOS和OS的，所以用戶無論在開機還是關(guān)機的狀態(tài)下，只要接通電源就可以實現(xiàn)對服務(wù)器的監(jiān)控。然而，通過旁路身份驗證方式，攻擊者可以利用IPMI來繞過服務(wù)器的身份驗證環(huán)節(jié)，并提取密碼哈希。特別當(dāng)密碼是默認密碼或弱密碼時，攻擊者就可以獲取明文密碼，并遠程訪問。

防護建議：

目前，針對IPMI旁路身份驗證還沒有針對性的補丁，建議組織執(zhí)行以下一個或多個操作。

• 將IPMI訪問限制于數(shù)量有限的系統(tǒng)上，即出于管理目的必需要訪問的系統(tǒng)。
• 如果業(yè)務(wù)不需要IPMI服務(wù)，應(yīng)立即禁用該服務(wù)。
• 將默認管理員密碼改為復(fù)雜的強密碼。
• 服務(wù)只使用安全協(xié)議，比如HTTPS和SSH，以限制攻擊者在中間人攻擊中成功獲取訪問密碼的機會。

7.Windows RCE（BlueKeep）

BlueKeep（CVE-2019-0708）是一個在2019年被發(fā)現(xiàn)的高危級安全漏洞，曾經(jīng)廣泛影響了數(shù)百萬臺計算機設(shè)備。然而在最近的滲透測試活動中，研究人員仍然發(fā)現(xiàn)在很多企業(yè)中仍然會大量存在BlueKeep安全缺陷的系統(tǒng)。由于缺乏可用的工具和代碼，這個Windows安全缺陷會給用戶系統(tǒng)帶來嚴(yán)重的損害，允許攻擊者完全控制受影響的系統(tǒng)。

防護建議：

由于該安全缺陷經(jīng)常被利用，并可能導(dǎo)致被濫用，因此應(yīng)立即修復(fù)。修復(fù)方式很簡單，只要在受影響的系統(tǒng)上部署安全更新，就可以有效防范該漏洞。但是，組織應(yīng)該評估現(xiàn)有的補丁管理流程，找到為何會遺漏相關(guān)安全更新的原因。

8.本地管理員密碼重用

在內(nèi)部滲透測試期間，研究人員發(fā)現(xiàn)許多系統(tǒng)共享相同的本地管理員密碼。如果攻擊者竊取了一個本地管理員帳戶，就可以成功訪問到多個系統(tǒng)，這大大增加了組織內(nèi)部大范圍遭到攻擊的風(fēng)險。

防護建議：

使用微軟LDAPS之類的密碼管理解決方案，以確保多個系統(tǒng)上的本地管理員密碼不一致，并按時對密碼進行更新。

9.Windows RCE（EternalBlue）

和BlueKeep安全漏洞一樣，在滲透測試過程中，研究人員發(fā)現(xiàn)了大量易受EternalBlue（永恒之藍）漏洞利用攻擊的系統(tǒng)。這是一個在2017年被發(fā)現(xiàn)的漏洞，曾經(jīng)影響非常廣泛，可以讓攻擊者完全控制受影響的系統(tǒng)。

防護建議：

在受影響的系統(tǒng)上部署安全更新即可。但是，組織應(yīng)該評估現(xiàn)有的補丁管理程序，以確定未能及時進行安全更新的原因。

10.Dell EMC IDRAC 7/8 CGI注入

iDRAC 是位于服務(wù)器主板上的硬件，允許系統(tǒng)管理員更新和管理戴爾系統(tǒng)，即使在服務(wù)器關(guān)閉時也是如此。iDRAC 還提供了 Web 界面和命令行界面，使管理員可以執(zhí)行遠程管理任務(wù)。幾乎所有當(dāng)前的戴爾服務(wù)器都具有iDRAC選項。滲透測試人員發(fā)現(xiàn)，2.52.52.52之前的Dell EMC iDRAC7/iDRAC8版本易受CVE-2018-1207命令注入漏洞的影響。這允許未經(jīng)身份驗證的攻擊者以root權(quán)限執(zhí)行命令，從而使他們能夠完全控制iDRAC設(shè)備。

防護建議：

盡快將固件升級到最新版本。

參考鏈接：https://thehackernews.com/2024/06/top-10-critical-pentest-findings-2024.html