概述
2014年实可谓是中国信息安全元年,这一年里信息与网络安全领域里发生了很多重大事件。最重要的莫过于2014年2月27日,中央网络安全和信息化领导小组宣告成立,习近平担任组长。这个事件标志安全已经上升到国家战略高度。这也让每一位中国安全行业的从业者,看到安全产业蓬勃发展的美好前景。
从另一个角度上来说,对于安全行业来说,2014年又是不平静的一年。2014年高危漏洞频发。心脏滴血(Heartbleed)漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光,震动了整个互联网,甚至有人称这些漏洞带给互联网的是一场灭顶之灾。
然而,互联网安全经过2014年的洗礼,非但没有“灭亡”,反而更加健康。再晴朗的天空也总可能会有那么一丝阴霾,尽管挥之不去,但仍旧无法遮挡灿烂的阳光。
阿里云安全团队在2014年底收集和整理了去年一年曝光的安全漏洞,从数千个漏洞中评选出“影响2014年互联网的十大安全漏洞”,与大家分享。
漏洞总结
1、2014年CVE漏洞分布
数据来源:http://www.cvedetails.com/
从上图来看,2014年曝出的安全漏洞中,敏感信息泄露类漏洞数量最多,超过了2000个,这说明黑客对用户信息的关注,侵犯了用户信息的隐私性。拒绝服务类(DoS)漏洞数量紧跟其后,超过了1500个。通过拒绝服务攻击,可以破坏业务的可用性和稳定性。此外,远程代码执行漏洞数量也非常多。
2、CVE漏洞总数趋势
数据来源:http://www.cvedetails.com/
从上图来看,2014年曝出的安全漏洞,从数量上创造了一个历史之最。很难说这是一个好或是不好的结果。好的一方面是安全越来越被重视,漏洞不断挖掘和曝光出来,而漏洞的不断修复可以很大程度上提升系统的安全性;不好的一方面是安全威胁的形势越来越严峻,随着漏洞数量的增加,特别对于企业来说,安全维护团队的压力越来越大。一个新漏洞被曝光,如果不能在第一时间尽快修复这个漏洞,很可能就会失去与黑客攻防大战的先机,处于被动的地位。
面对如此严峻的漏洞威胁形势,云计算用户和云服务提供商的安全团队必须是一个防护整体,能否在第一时间获得漏洞的预警,能否在第一时间完成云平台防护系统有效防御部署,是对这个防护整体的挑战。
2014年十大安全漏洞
2014年十大安全漏洞如下,排名不分先后:
1、Heartbleed漏洞
【CVE编号】
CVE-2014-0160
【漏洞发现时间】
2014年4月份
【漏洞描述】
在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS实现中,由于不能正确处理心跳扩展包,导致允许远程攻击者通过触发缓冲区的包获得进程内存的敏感信息。
【漏洞危害】
导致服务器私钥以及泄露会话Session、cookie、账号密码等敏感信息。
2、Shellshock(BASH)漏洞
【CVE编号】
CVE-2014-6271
【漏洞发现时间】
2014年9月
【漏洞描述】
GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用Bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。
【漏洞危害】
可以直接在Bash支持的Web CGI环境下远程执行任何命令,另外此漏洞可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用Bash作为解释器的应用等。
3、SSL 3.0 POODLE漏洞:
【CVE编号】
CVE-2014-3566
【漏洞发现时间】
2014年10月
【漏洞描述】
Poodle攻击的原理,就是黑客故意制造安全协议连接失败的情况,触发浏览器的降级使用 SSL 3.0,然后使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。
【漏洞危害】
攻击者可以利用此漏洞获取受害者的https请求中的敏感信息,如cookies等信息。
4、Microsoft KerberOS权限提升漏洞:
【CVE编号】
CVE-2014-6324
【漏洞发现时间】
2014年12月
【漏洞描述】
Windows Kerberos对kerberos tickets中的PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过Kerberos KDC(Key Distribution Center)的验证,攻击成功使得攻击者可以提升权限,获取域管理权限。
【漏洞危害】
利用一个普通的域账号,提升自己的权限到域控管理员。
#p#
5、BadUSB
【CVE编号】
无
【漏洞发现时间】
2014年7月
【漏洞描述】
一个BADUSB设备可以模仿登录用户的键盘或发出命令,例如exfiltrate文件或安装恶意软件。这样的恶意软件,反过来,可以感染的计算机连接的其他USB设备控制器芯片。该设备还可以欺骗网卡和更改计算机的DNS设置将流量重定向。
【漏洞危害】
BadUSB最大危险之处在于很难被查觉,哪怕是防病毒软件也不能发现它。
6、IE通杀代码执行漏洞
【CVE编号】
CVE-2014-6332
【漏洞发现时间】
2014年11月
【漏洞描述】
Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本在实现上存在Windows OLE自动化数组远程代码执行漏洞,远程攻击者利用此漏洞通过构造的网站执行任意代码。
【漏洞危害】
对于黑客,他们通过网站挂马,可以直接批量控制中马用户的计算机,不仅可以盗取各类账号(邮箱、游戏、网络支付),还可以进行交易劫持等其他利益用途。
7、Microsoft Windows全版本提权漏洞
【CVE编号】
CVE-2014-4113
【漏洞发现时间】
2014年10月
【漏洞描述】
如果攻击者诱使用户打开特制文档或访问包含嵌入 TrueType 字体的不受信任的网站,则其中较为严重的漏洞可能允许远程执行代码。但是在所有情况下,攻击者无法强制用户执行这些操作。相反,攻击者必须说服用户这样做,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接。
【漏洞危害】
以普通用户权限运行漏洞利用程序成功后,从普通用户权限提升到了系统system最高权限。
8、NTP远程代码执行以及拒绝服务攻击漏洞
【CVE编号】
CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296
【漏洞发现时间】
2014年12月
【漏洞描述】
网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
(1) 其中CVE-2014-9293漏洞详情为:如果在配置文件ntp.conf中ntpdc没有指定申请认证密钥,NTPD会自动生成弱密钥。远程攻击者能够通过匹配这些限制的IP地址来猜解出生成的密钥,并有可能用它来发送ntpdc查询或配置请求。
(2) 其中CVE-2014-9294漏洞详情为: NTP密钥生成器,使用一种不安全的算法来生成md5值。这可能允许攻击者猜到生成的MD5密钥,然后用于欺骗NTP客户端或服务器。注:对于使用NTP-注册机生成的密钥,建议重新生成MD5密钥。默认安装不包含这些键值。
(3)其中CVE-2014-9295漏洞详情为:在NTPD的函数crypto_recv()、ctl_putdata()和configure()中存在多个缓冲区溢出漏洞。远程攻击者可以利用这些漏洞发送精心构造的数据包,导致NTPD崩溃,甚至使用NTP用户权限执行任意代码。注:crypto_recv()函数的漏洞利用,需要是在用的非默认配置,而ctl_putdata函数()的漏洞利用,在默认情况下,只能通过本地攻击者被利用。并且configure()函数的漏洞利用需要其他身份验证利用。
(4)其中CVE-2014-9296漏洞详情为:在receive()函数中缺少具体返回状态,从而使远程攻击者有绕过NTP认证机制的可能。
【漏洞危害】
造成NTPD拒绝服务攻击以及造成缓冲区溢出漏洞导致的代码执行漏洞。
9、Adobe堆缓冲区溢出漏洞
【CVE编号】
CVE-2014-0561
【漏洞发现时间】
2014年9月
【漏洞描述】
Adobe Reader以及Adobe Acrobat存在堆溢出漏洞,成功利用后可导致代码执行。
【漏洞危害】
利用有漏洞的Adobe Reader和Adobe Acrobat攻击操作系统,获取相应的权限。
10、Microsoft .NET Framework远程权限提升漏洞
【CVE编号】
CVE-2014-4149
【漏洞发现时间】
2014年11月
【漏洞描述】
Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2版本没有正确执行TypeFilterLevel检查,远程攻击者通过向.NET Remoting端点发送构造的数据,利用此漏洞可执行任意代码。
【漏洞危害】
利用有漏洞的.NET Framework获取服务器权限。
#p#
云计算安全防护的思考
在上文中,我们提到了面对漏洞威胁和黑客的攻击时,云计算用户和云服务提供商的安全团队是一个整体。这是一场关乎生死的大战,也是一场与时间的赛跑。从时间角度上讲,有两个关键的因素:什么时候获得漏洞的资讯以及什么时候完成漏洞的修复。
首先,当一个漏洞被曝光出来时,能否在第一时间获得漏洞的资讯是一个关键。在第一时间获取漏洞的情报可以保证和绝大多数的攻击者至少保持在同一个起跑线上。越晚获得漏洞的信息就意味着起跑时间的延后。第二,即便在第一时间获取了漏洞信息,能否及时修复也是成败的关键。
对于云计算服务提供商来说,安全团队不仅是一个运行和维护团队,还需要有专业的安全研究小组,负责跟踪和获取最新的漏洞情报。当一个漏洞被曝光出来时,安全研究人员会迅速对漏洞进行分析,获取漏洞攻击的手段并研究防护的策略。当确认漏洞的攻击手段后,用户运营团队需要通过微博、论坛、官方网站等诸多手段发布漏洞预警信息,提醒云计算用户关注该漏洞的存在。与此同时,为了验证漏洞在云计算平台上的存在和分布状况,还需要对全体云计算用户进行全网扫描,发现存在该漏洞的用户。
依照阿里云云盾的运营经验,接下来的处理可以分成两个场景来进行。
第一个场景,云端防护。如果漏洞防护可以通过云平台的Web防护系统实现攻击行为的阻断,那么运营团队就必须要在第一时间更新Web防护系统的防护规则,实现漏洞在云平台层面的防护。在这个场景下,即便用户系统中存在该漏洞,但是由于云端防护系统已经可以防护利用该漏洞的攻击行为,用户系统可以仍得到有效防护。必须要注意的是,安全团队还需要通过监控检验防护的效果,确保对该漏洞利用行为的阻断。
第二个场景,用户端防护。如果漏洞的防护必须需要用户通过升级补丁才可以实现,则用户运营团队需要通过电子邮件和短信的方式对存在该漏洞的用户进行一对一的漏洞预警信息推送。接收到信息的用户可以依据预警信息中的指导完成漏洞的修复。对于后一种情况,为了保证漏洞的及时有效修复,运营团队还要在预警信息发布后的一段时间内再次进行漏洞的扫描,确认漏洞已被有效修复。
因此,不管对于哪一种场景,对于一个提供云计算安全防护的平台来说,漏洞的防护都必须是一个快速和闭环的过程。
(注:文章部分图片来自互联网)
