【创科广场】系统漏洞人人自危 黑客扫描处处刺探

2021-03-19 08:00

虽然3月初,Microsoft就Exchange 伺服器上多个零日漏洞(Zero-day vulnerabilities)发布填补漏洞的修补程式;Exchange 事故愈演愈烈。

2月台湾网络保安研究团队戴夫寇尔(DEVCORE)发现漏洞,与接触后Microsoft,黑客已迅速网上活动,漏洞公布前,已经有不少黑客在网上,售入侵和攻击的工具,短期内相信Exchange伺服器仍会是攻击主要对象。

据报Microsoft正调查DEVCORE是否外泄有关漏洞,导致黑客在修补程式出现前,已乘虚而入。DEVCORE表示内部调查后,并无任何发现。

据Palo Alto Networks的网络威胁研究小组Unit 42估计,黑客在有关漏洞公布前,Microsoft推出修正软件前整整2个月,一直在展开攻击,即使企业安装Microsoft修补程式,也不一定是安全,可能早已被入侵,必须检视是否已遭入侵。

Unit 42估计全球超过12万部Exchange伺服器,未有填补漏洞。而Check Point Research公布发现有数百次尝试针对全球组织的漏洞攻击,与Microsoft Exchange Server 的4个零日漏洞有关。

Barracuda 近日就有关问题发文,指黑客可利用安全漏洞,随意发送HTTP 请求并通过 Exchange伺服器进行身分验证,获得存取权限进行攻击,包括植入 Webshells在系统的Http session执行。

「中国制造」循环再用

Webshell是以Script执行的小程式,可以用PHP、ASP、Perl或JSP撰写,黑客可植入Webshell在Exchange伺服器,以自远端存取或执行伺服器上的功能;Webshell优点是常驻在伺服器,成为持续攻击受害系统入口。然而,恶意Webshell不是执行档,只属Script档,所以扫毒程式往往找不出来。

Webshell后门文件往往是与伺服器WEB目录下,与正常网页档混合一起,黑客通过Web的访问执行Webshell进行上传下载文件、访问数据库、执行系统命令等高危操作,以非法控制网站伺服器,Webshell本身执行权限不高,胜在隐蔽性够强,可作为入侵第一步。

发动APT攻击

Unit 42指有关的漏洞被中国国家支持的黑客组织Hafnium,制作了一款ASPX的Webshell,并植入Exchange的Offline Address Book(OAB)。上述据称是「中国制造」的Webshell,名为China Chopper。不过FireEye自从2013年,就已发现和分析China Chopper,自始变成了黑客流行工具,Unit 42研究员Jeff White亦制作工具扫描,发现不少Exchange已遭植入了Webshell。

罗兵咸永道香港网络安全及私隐服务合夥人颜国定表示,本港和澳门Exchange受攻击的情况相当严重,主要都是植入Webshell作后门,不过部分亦利用Exchange作为攻击入口,发动APT攻击。

「本港有数家机构遭入侵,机构须尽快修复,以免成为下一家受害者;攻击Exchange弱点的程式,甚至可在GitHub公开下载。攻击量上升,亦毫不足怪。」

颜国定指出。罗兵咸永道检查多家机构的Exchange伺服器,其中至少150部发现有漏洞存在。

攻击量大幅增长

自2021年3月初以来,Barracuda研究人员留意到,侦察到全球Exchange的 攻击增长,流量从 3月1日低位开始急升。

Barracuda 发现大多数攻击属于侦察性质,主要是刺探后端是否正运行Exchange,结果不少未在后端上运行Exchange系统,都受到刺探。自从2月24日以来,Barracuda 研究人员留意针对漏洞扫描,数量持续上升。预期未来数周,黑客继续扫描及寻找可攻击漏洞,攻击次数会持续上升。

所以企业应尽快更新Microsoft软件,并扫描系统侦测漏洞。安装修补防御安全漏洞,黑客亦需时研究部署新工具。如果赶及安装,也可考虑以Web应用防火墙(Web Application Firewall, WAF)和WAF即服务,拦截针对Exchange 和VMWare漏洞的扫描和攻击。另一个方法是建立「零信任网络存取」(ZTNA)权限,加强控制应用的存取权限,企业应审视公司现有的终端安全防护和合规的执行措施。

ZTNA方案能够确保企业安全、可靠和快速地存取储存于内部或云端上的任何位置和装置之应用,控制风险建立侦测和应变方案 。

扫描Webshell是其中一个方案,以侦测网络任何入侵迹象,如有来历不明的Webshell,意味系统已经遭入侵。今次事件说明WAF防火墙,仍具重要防御价值,单靠传统防火墙,任何开放HTTP系统,可能也不安全。

關鍵字

最新回应

關鍵字
You are currently at: 187235123.xyz
Skip This Ads
close ad
close ad