欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基2017年企业信息系统的安全评估报告

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿

20%的漏洞是跨站脚本类型的漏洞。攻击者可以利用此漏洞获取用户的身份验证数据(cookie)、实施钓鱼攻击或分发恶意软件。
敏感数据暴露 -一种高风险漏洞,是第二大常见漏洞。它允许攻击者通过调试脚本、日志文件等访问Web应用的敏感数据或用户信息。
SQL注入 – 第三大常见的漏洞类型。它涉及到将用户的输入数据注入SQL语句。如果数据验证不充分,攻击者可能会更改发送到SQL Server的请求的逻辑,从而从Web服务器获取任意数据(以Web应用的权限)。
很多Web应用中存在功能级访问控制缺失漏洞。它意味着用户可以访问其角色不被允许访问的应用程序脚本和文件。例如,一个Web应用中如果未授权的用户可以访问其监控页面,则可能会导致会话劫持、敏感信息暴露或服务故障等问题。
其它类型的漏洞都差不多,几乎每一种都占4%:
用户使用字典中的凭据。通过密码猜测攻击,攻击者可以访问易受攻击的系统。
未经验证的重定向和转发(未经验证的转发)允许远程攻击者将用户重定向到任意网站并发起网络钓鱼攻击或分发恶意软件。在某些案例中,此漏洞还可用于访问敏感信息。
远程代码执行允许攻击者在目标系统或目标进程中执行任何命令。这通常涉及到获得对Web应用源代码、配置、数据库的完全访问权限以及进一步攻击网络的机会。
如果没有针对密码猜测攻击的可靠保护措施,并且用户使用了字典中的用户名和密码,则攻击者可以获得目标用户的权限来访问系统。
许多Web应用使用HTTP协议传输数据。在成功实施中间人攻击后,攻击者将可以访问敏感数据。尤其是,如果拦截到管理员的凭据,则攻击者将可以完全控制相关主机。
文件系统中的完整路径泄露漏洞(Web目录或系统的其他对象)使其他类型的攻击更加容易,例如,任意文件上传、本地文件包含以及任意文件读取。
Web应用统计
本节提供有关Web应用中漏洞出现频率的信息(下图表示了每种特定类型漏洞的Web应用的比例)。
最常见漏洞的Web应用比例

改进Web应用安全性的建议
建议采取以下措施来降低与上述漏洞相关的风险:
检查来自用户的所有数据。
限制对管理接口、敏感数据和目录的访问。
遵循最小权限原则,确保用户拥有所需的最低权限集。
必须对密码最小长度、复杂性和密码更改频率强制进行要求。应该消除使用凭据字典组合的可能性。
应及时安装软件及其组件的更新。
使用入侵检测工具。考虑使用WAF。确保所有预防性保护工具都已安装并正常运行。
实施安全软件开发生命周期(SSDL)。
定期检查以评估IT基础设施的网络安全性,包括Web应用的网络安全性。
结论
43%的目标企业对外部攻击者的整体防护水平被评估为低或非常低:即使外部攻击者没有精湛的技能或只能访问公开可用的资源,他们也能够获得对这些企业的重要信息系统的访问权限。
利用Web应用中的漏洞(例如任意文件上传(28%)和SQL注入(17%)等)渗透网络边界并获取内网访问权限是最常见的攻击向量(73%)。用于穿透网络边界的另一个常见的攻击向量是针对可公开访问的管理接口的攻击(弱密码、默认凭据以及漏洞利用)。通过限制对管理接口(包括SSH、RDP、SNMP以及web管理接口等)的访问,可以阻止约一半的攻击向量。
93%的目标企业对内部攻击者的防护水平被评估为低或非常低。此外,在64%的企业中发现了至少一个可以获得IT基础设施最高权限(如活动目录域中的企业管理权限以及网络设备和重要业务系统的完全控制权限)的攻击向量。平均而言,在每个项目中发现了2到3个可以获取最高权限的攻击向量。在每个企业中,平均只需要三个步骤即可获取域管理员的权限。
实施内网攻击常用的两种攻击技术包括NBNS欺骗和NTLM中继攻击以及利用2017年发现的漏洞的攻击,例如MS17-010 (Windows SMB)、CVE-2017-7494 (Samba)和CVE-2017-5638 (VMwarevCenter)。在永恒之蓝漏洞公布后,该漏洞(MS17-010)可在75%的目标企业的内网主机中检测到(MS17-010被广泛用于有针对性的攻击以及自动传播的恶意软件,如WannaCry和NotPetya/ExPetr等)。在86%的目标企业的网络边界以及80%的企业的内网中检测到过时的软件。
值得注意的是JavaRMI服务中的远程代码执行及许多开箱即用产品使用的Apache Commons Collections和其它Java库中的反序列化漏洞。2017年OWASP项目将不安全的反序列化漏洞包含进其10大web漏洞列表(OWASP TOP 10),并排在第八位(A8-不安全的反序列化)。这个问题非常普遍,相关漏洞数量之多以至于Oracle正在考虑在Java的新版本中放弃支持内置数据序列化/反序列化的可能性1。
获取对网络设备的访问权限有助于内网攻击的成功。网络设备中的以下漏洞常被利用:
cisco-sa-20170317-cmp或CVE-2017-3881(CiscoIOS)。该漏洞允许未经授权的攻击者通过Telnet协议以最大权限访问交换机。
cisco-sa-20170629-snmp(Cisco IOS)。该漏洞允许攻击者在知道SNMP社区字符串值(通常是字典中的值)和只读权限的情况下通过SNMP协议以最大权限访问设备。
思科智能安装功能。该功能在Cisco交换机中默认启用,不需要身份验证。因此,未经授权的攻击者可以获取和替换交换机的配置文件2。
2017年我们的Web应用安全评估表明,政府机构的Web应用最容易受到攻击(所有Web应用都包含高风险的漏洞),而电子商务企业的Web应用最不容易受到攻击(28%的Web应用包含高风险漏洞)。Web应用中最常出现以下类型的漏洞:敏感数据暴露(24%)、跨站脚本(24%)、未经验证的重定向和转发(14%)、对密码猜测攻击的保护不足(14%)和使用字典中的凭据(13%)。

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载