介绍
众所周知在企业内部:安全部门、IT部门、负责漏洞管理以及降低企业内部风险的团队所处的环境经常会面对高频的报警以及海量的安全信息,于是乎能够从海量信息中获取有利的数据并付诸于行动成了难能可贵的能力。特别是当新的潜在威胁出现时,信息安全专业人员往往需要先自己将模糊且不全的描述和未经测试的公告进行分析,建立自己的特定风险模型并转化为可实施的解决方案。
再此期间,为了向大家公布为什么某些漏洞会被轻易利用,每年安全研究人员都会分析此年间产生的漏洞,通过了解其产生的根本原因,并将其分享出来。这样在面对新的高危漏洞时就不会再谈“洞”色变了。通过分析2020年众多漏洞的突出利用趋势和攻击者的使用案例,我们集中展示了中的其中50个,以更好的了解新出现的安全威胁。我们的目的是将那些给各组织带来严重风险的漏洞进行情景化处理。此外还提供了一个攻击者实用程序列表,以及为防御者提供了漏洞的防御指南。
首先声明这份报告不是威胁情报报告,尽管我们在报告中使用了网络威胁情报(CTI)术语。但是,我们确实通过分析许多优秀的威胁情报提供者提供的信息,来丰富了这篇文章的内容。他们从分析攻击者的动机、方法、技术和程序(TTP),再到定位特定威胁参与者这一方面有着一流的水准。但传统的CTI方法论和元素(包括危害指标(IOC)等工件)不在本文讨论范围之内。
下面的内容包含了大量的漏洞数据,虽然这些漏洞信息都很重要,但不要让它左右了你的判断: 说到底这只是一篇提升威胁意识本能的报告,通过它可以驱使安全研究人员和开发人员提升面对安全事件的危机意识。
摘要
在过去五年中,发布漏洞的数量显著增加。与2016年相比,2017年的CVE漏洞数量增加了127%,此后每年的CVE数量都超过了其前一年。到2020年年底时, 2020年漏洞总数累计达到18362个,比2019年增加了6%,比五年前增加了185%。2020年12月由nationstate-backed campaigns的披露得知,全球超过 6 个美国政府机构和数千个组织遭受了重大安全事件的打击,其中最严重的一些事件通常发生在面向互联网的技术上,这些技术对于这两年兴起的远程办公也有着严重的影响。
当然,并不是所有2020年的安全漏洞都可以被利用,即使是那些严重程度达到10分的高危风险。
在这份报告中,我们研究了50个不同的cve,其中有30个漏洞在2020年被高频利用,要么是不分青红皂白的攻击,要么是小规模的、有针对性的攻击。其余20个漏洞尚未被高频利用,但我们通过其对攻击者的价值、技术细节、可发现性和攻击代码的高频可用性将其归类为Impending(紧急的威胁)。当然,不划分在里面并不意味着这些漏洞没有被高频利用——只是可能缺乏证据去公开披露而已。
2020年调查结果包括:
14个在2020年成为widespread threats(高频利用威胁)并对各种规模的组织构成重大风险的漏洞。您将认识到2020年利用次数最多的一些漏洞,其中包括WebLogic Server和ManageEngine zero days,以及RECON和Zerologon之类的漏洞。我们widespread threat(高频利用威胁)中有14个cve被各种各样的恶意组织利用,包括但不限于拥有国家支持背景的黑客、个人技术爱好者。
在2020年的安全新闻头条中占据显著位置的重要漏洞,但其实有些漏洞比它们更易被利用。2020年反序列化和不适当的访问控制漏洞是让widespread threat(高频利用威胁)生效的根本原因,它们在widespread(高频利用)列里占据了78%。
2020年影响最大的漏洞通常发生在安全产品上,而这些产品又常位于企业网络中关键且经常暴露在外的位置。我们在本报告中列出了9个漏洞,它们通常是作为网络枢纽,被外部攻击者利用vpn、防火墙或其他面向互联网的技术进行权限获取,从而为其访问内部网络提供了机会。这些缺陷通常与本地代码执行漏洞或网络协议漏洞一起使用,以升级特权账户或在公司网络上进行横向移动。
2020年出现了多个严重影响了底层软件库的操作技术(OT)和物联网(IoT)的漏洞。尽管近年来这一脆弱性类别引起了越来越多的关注。但经研究,其可利用性还是很低,且有不容易复刻的特性。
在2020年,维护者们不得不面对源源不断的补丁绕过,这扰乱了原有的修复计划,并带来了更多容易被忽略的风险。我们的整理了补丁绕过和不完整的补丁,共9个,其中7个绕过了已知被利用或拥有高价值父漏洞的修复。有趣的是,我们注意到,现在软件供应商开始慢慢减少公开攻击链信息,而不是尝试解决报告给他们的bug,这种情况关键还越来越常见,当然这也可以从侧面解释了为什么去年出现了大量的补丁绕过的原因。
1. 频繁被利用的漏洞和其他重要CVE
值得一提的是,2020年新增了像零日披露(zero-day disclosures)和公共威胁情报( public threat intelligence)的平台,虽然这些情报大都来自美国国家安全局(也有传统的来源,如CISA和countryCERTs)。这一做法,毫无疑问是为了加速修补程序的更新,同时也表明了对漏洞信息透明公开的一种态度,但这也同样加剧了人们在面对新的高风险漏洞时的紧迫感,特别是在面对安全新闻媒体的报道时,更加加剧了这种紧迫感。如果不承认美国情报机构在塑造人们的看法和影响工作重点方面发挥的作用,就很难去讨论过去一年的威胁形势,尤其是考虑到有关这些信息披露的新闻标题可能会让高管、商业利益相关者以及安全从业人员看到。
什么是威胁?
当对手有意图、能力和机会时,威胁就存在了。其中两个或两个以上的元素出现时(如意图和能力,但没有机会),我们就称其为Impending Threats(紧急的威胁),因为在它成为真正的威胁之前,只缺少一个元素。当只有一个因素存在时(例如,以软件漏洞的形式存在的机会),我们称之为潜在的威胁。它有可能变成真正的威胁,尽管在它对大多数组织产生真正的影响之前,还需要达到一些额外的条件。
我们在数据中罗列了被高频利用的漏洞(widespread threats)和基于现有证据归类的有针对性攻击(targeted threats)的漏洞。在我们收集的数据中几乎所有有针对性的威胁,都可以找到一个已有成功被利用的可信来源报告,不管后续有没有进一步的公开利用报告。当然,这些漏洞在被披露时大多都是以零日漏洞的身份出现。
相应的,在我们(widespread threat)高频利用威胁类别中的cve通常被众多恶意攻击者利用,从僵尸网络控制器到APTs,再到脚本小子,他们向暴露在互联网的主机无差别使用公共概念验证(PoC)代码。换句话说,如果我们将一个威胁归类为(widespread threat)高频利用威胁,那么这个分类是基于攻击的数量,而不是具体是谁在进行攻击。但是,不管是什么时候,企业都应该对其受到的攻击进行响应和调查,以在发生攻击事件期间寻找IOC和可疑活动,并第一时间为程序打上紧急补丁。
widespread threa(高频利用威胁)
我们归类了14个高频利用的威胁,它们都在2020年对企业安全造成了或多或少的影响。如果不及时修补,这个影响有可能会持续更久。因为成功利用这些漏洞所造成的影响是很严重的。其大多数攻击都会允许远程代码执行(remote code execution, RCE)。还有一些攻击,允许未经身份验证的远程攻击者控制基础设施,然后通过利用面向互联网的系统或接口访问内部网络。值得注意的是,这个类别中的两项——zoho ManageEngine CVE-2020-10189和vBulletincve -2020-17496——在供应商提供补丁之前就有了稳定的攻击代码。
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2019-18935 Telerik UI RadAsyncUpload .NET Deserialization | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / .NET |
CVE-2019-19781 Citrix NetScaler ADC/Gateway/SD-WAN Arbitrary Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-0688 Microsoft Exchange Server Static Validation Key Remote Code Execution | 8.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / .NET |
CVE-2020-0796 Windows SMBv3 Server Remote Code Execution "SMBGhost" | 10 | · Widespread ThreatExploited in the wild | Remote code execution | Memory Corruption |
CVE-2020-10189 Zoho ManageEngine Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild (released as 0day) | Network infrastructure compromise | Deserialization / Java |
CVE-2020-11651 SaltStack Salt Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network infrastructure compromise | Improper Access Control |
CVE-2020-1472 NetLogon Elevation of Privilege "Zerologon" | 10 | · Widespread ThreatExploited in the wild | Lateral movement | Improper Access Control |
CVE-2020-14750 WebLogic Unauthenticated Remote Code Execution Patch Bypass | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-14882 Oracle WebLogic Server Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-15505 MobileIron Core and Connector Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / Java |
CVE-2020-17496 vBulletin subWidgets data RCE | 9.8 | · Widespread ThreatExploited in the wild (released as 0day) | Remote code execution | Injection |
CVE-2020-3452 Cisco ASA/FTD Web Services Read-Only Path Traversal Vulnerability | 7.5 | · Widespread ThreatExploited in the wild | File enumeration | Injection |
CVE-2020-5902 F5 Big-IP TMUI Remote Code Execution | 10 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-6287 SAP NetWeaver AS Java "RECON" | 10 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
高频利用威胁2020年漏洞的披露日期:
2020年随着CitrixNetScaler和Telerik UI的兴起开发而拉开帷幕。Zoho ManageEngine和SaltStack Salt在春季紧随其后,而下半年因通过互联网大规模利用F5 BIG-IP,Microsoft NetLogon远程协议和Oracle WebLogic Server中的严重漏洞而中断。在MobileIron移动设备管理(MDM)解决方案中,认证绕过和远程代码执行缺陷相结合的方式也让人们瞥见了移动设备管理软件在未来是如何成为一个强大的攻击媒介,即使在远程办公的员工开始回归办公室办公之后也是如此。
在这一列表中有三个异常值得仔细观察的点。第一个是CVE-2020-0796,或称“SMBGhost”,这是微软服务器消息块(SMB) 3.1.1协议中的一个远程代码执行漏洞,该公司在2020年3月周二补丁发布之前提前发布了修复补丁。虽然对外的安全更新在通知发出后的24小时之内出现了,但在安全社区仍将此漏洞比作2020年的MS17-010。MS17-010:SMB漏洞,被用作2017年WannaCry和NotPetya攻击链常利用的一个漏洞,使全球各个组织为其付出了数百万美元的代价。
网络防御者担心该漏洞会被广泛利用以及蠕虫入侵,但至少到目前为止,还没有蠕虫出现。实际上,即使有公开的概念验证代码和僵尸网络针对了SMBGhost,但是很难说这种漏洞可以被完全的利用。或者说,以现在的内存保护机制,意味着,即使有一些漏洞被大家熟知,但想进行远程代码执行就不是一件容易的事了。甚至连Lemon_Duck僵尸网络在试运行后也放弃了SMBGhost攻击模块。为了统一定义的规则,我们把CVE-2020-0796包含在我们的高频利用威胁列表中,但它只是一个例外,不在此项之中。
另一个例外是CVE-2020-3452,这是思科Adaptive Security Appliance (ASA)和FirepowerThreat Defense (FTD)产品中的一个只读路径遍历漏洞,允许远程攻击者枚举目标设备上的文件。这里的歧义之处在于其价值而非可利用性——尽管PoC很快就发布了,引用微软的KevinBeaumont的话“mass spammed across [the] internet”, 但利用它却没有给攻击者提供任何有用的访问机会。在我们的广泛威胁示例中,CVE-2020-3452也是Metasploit唯一选择不优先利用的漏洞。
最后,如果说2020年存在一个Microsoft漏洞,其严重性以及对网络系统的灾难性影响与MS17-010相当,那它一定是“Zerologon”(CVE-2020-1472),这是是Microsoft Netlogon远程协议(MS-NRPC)中的一个加密缺陷,它允许攻击者绕过身份验证,危及作为域控制器运行的Windows服务器,为完全接管Active Directory域铺平了道路。微软在2020年8月星期二发行的的CVSS-10特权升级漏洞补丁引起了人们的关注,但该通报的特征信息却很少。因为其公开的细节一直很少,没有相对应的修复方案。直到9月中旬,Secura的研究人员发布了深入的分析报告,才有了详细的信息。
Zerologon和MS17-010系列漏洞都为攻击者提供了容易被攻击的横向移动可利用路径,这很容易让他们成为勒索软件(包括勒索蠕虫)的攻击对象。与2017年的cve不同(cve提供了远程和本地代码执行),成功利用Zerologon需要对域控制器进行网络访问——换句话说,攻击者需要一个暴露于互联网的域控制器或某种类型的网络初始访问(e.g.,a network pivot)。2020年的威胁清单包括相当多的潜在网络枢纽。我们稍后会再讨论。
Targeted Threats(有针对性的威胁)
我们数据中大约一半的主动利用漏洞属于"有针对性的威胁"类别,特此强调,这并不意味着这些cve没有(或不会)被大范围利用,只是还没有任何大规模利用的公开证据。特别是,Sophos XG防火墙CVE-2020-12271和VMware ESXi CVE-2020-3992。由于它们提供了相当大的访问权限,这个目标对于攻击者来说是非常值得去尝试的。Citrix的三个漏洞也是如此,好在这三个漏洞在一次更新中都已经得到了修复。
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2020-10148 VMware Fusion Local Privilege Escalation (Incomplete Patch) | 9.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Network infrastructure compromise | Improper Access Control |
CVE-2020-12271 Sophos XG Firewall Unauthenticated SQL Injection | 9.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Network pivot | Injection |
CVE-2020-17087 Windows Kernel Local Privilege Escalation | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Local code execution | Memory Corruption |
CVE-2020-1020 Windows Adobe Font Manager Library Remote Code Execution | 8.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption |
CVE-2020-4006 VMware Workspace ONE Command Injection | 9.1 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Injection |
CVE-2020-14871 Oracle Solaris PAM Remote Code Execution | 10 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption |
CVE-2020-15999 Google Chrome FreeType Heap Buffer Overflow | 6.5 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption |
CVE-2020-0986 Windows Sandbox Escape via splw64 Untrusted Pointer Dereference | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day*) | Local code execution | Memory Corruption |
CVE-2020-1048 Windows Print Spooler Service Arbitrary File Write "PrintDemon" | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Local code execution | Improper Access Control |
CVE-2020-8195 Citrix NetScaler ADC/Gateway/SD-WAN WANOP Improper Access Control | 6.5 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-8193 Citrix NetScaler ADC/Gateway Authentication Bypass | 6.5 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-8196 Citrix NetScaler ADC/Gateway/SD-WAN WANOP Improper Access Control | 4.3 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-0601 Windows CryptoAPI Spoofing Vulnerability "Curveball" | 8.1 | · Targeted ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-3992 VMware ESXi OpenSLP Use-After-Free Remote Code Execution (Incomplete Patch) | 9.8 | · Targeted ThreatExploited in the wild | Network infrastructure compromise | Memory Corruption |
CVE-2020-3118 Cisco IOS XR Software Discovery Protocol Format String Vulnerability "CDPwn" | 8.8 | · Targeted ThreatExploited in the wild | Remote code execution | Memory Corruption |
CVE-2020-1350 Windows DNS Server Remote Code Execution "SigRed"" | 10 | · Targeted ThreatExploited in the wild | Remote code execution | Memory Corruption |
*卡巴斯基看到针对CVE-2020-0986漏洞的野生攻击行为后,提供了CVE-2020-0986的报告。但表示,在他们通知之前,微软已经准备个补丁。即使卡巴斯基不是唯一一家观察到此行为的公司,但仍然将这个CVE归为零日漏洞里。
在这之中有8个cve(超过一半)被作为零日漏洞报告给了相应的软件供应商,提醒他们这些cve已经有了野生的利用方法,其中:3个来自谷歌的Project Zero和Threat Analysis Group (CVE-2020-1020、CVE-2020-17087和CVE-2020-15999), 1个来自NSA(VMware CVE-2020-4006),其余的来自各种安全研究人员和公司。SolarWinds Orion CVE-2020-10148就是其中之一,在这里值得一提的是,这个漏洞极有可能已经被更多的人利用。然而,在写这篇文章的时候,还没有关于大规模利用的公开报告——只有大规模扫描的报告——直到更多的利用得到证实之前,我们都将其归类为有针对性的威胁。
除了三个Citrix漏洞外,Windows DNS服务器(2020-1350),Windows CryptoAPI(2020-0601),Cisco IOS XR(2020-3118)和VMware Workspace ONE(2020-4006)都被列入了NSA发布的关于俄罗斯(VMware CVE-2020-4006)和中国(其他国家)的漏洞威胁利用2020年第四季度出版物中。(NSA还是在2020年1月向Microsoft披露了“Curveball” CVE-2020-0601的实际案例。)总而言之,NSA是我们2020年安全威胁数据中很大一部分的原始资料来源。
Impending Threats(紧急的威胁)
随着主动利用漏洞暂告一段落,我们可以把注意力转向2020年一些值得注意的紧急的威胁。作为一个简短的提醒,当威胁三角(意图、能力、机会)只有两个元素出现时,我们就会把这种漏洞归结为紧急的威胁。由于这篇文章所诉集中在漏洞上,所以我们判定“机会”元素在默认情况下是存在的。我们在本节中提出的即将发生的威胁包含一个要素(即一个成熟的exploit)或一个可衡量意图的代替品。如果没有NSA发布的2020年第四季度公告,将会有许多有针对性的威胁(Targeted Threats)漏洞会被划分进入紧急的威胁(ImpendingThreats)漏洞中。
注意:此组中的一些漏洞具有可用的公共概念验证(PoC)代码,但就本文而言,我们认为公共概念验证与技术细节类似,因为它可以使其他人构建成功的攻击链或改进后的攻击技术,但它与成熟的攻击代码不同。概念验证代码在成为一个完全武器化并可以进行漏洞利用的程序之前,还需要一个漫长的过程。
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2020-3950 VMware Fusion Local Privilege Escalation (Incomplete Patch) | 7.8 | · Impending ThreatExploit Available | Local code execution | Improper Access Control |
CVE-2020-25592 SaltStack Salt Authentication Bypass | 9.8 | · Impending ThreatExploit Available | Network infrastructure compromise | Improper Access Control |
CVE-2020-3952 VMware vCenter Server/vmdir Information Disclosure | 9.8 | · Impending ThreatExploit Available | Network infrastructure compromise | Improper Access Control |
CVE-2020-16952 Microsoft SharePoint Authenticated Remote Code Execution | 7.8 | · Impending ThreatExploit Available | Remote code execution | Deserialization / .NET |
CVE-2020-16846 SaltStack Salt Command Injection | 9.8 | · Impending ThreatExploit Available | Network infrastructure compromise | Injection |
CVE-2020-16875 Microsoft Exchange Server DLP Policy Remote Code Execution | 8.4 | · Impending ThreatExploit Available | Remote code execution | Injection |
CVE-2020-5135 SonicWall SonicOS Portal Buffer Overflow | 9.4 | · Impending ThreatHigh-Value Target | Network pivot | Memory Corruption |
CVE-2020-16898 Windows TCP/IP Remote Code Execution "Bad Neighbor" | 8.8 | · Impending ThreatHigh-Value Target | Remote code execution | Memory Corruption |
CVE-2020-8209 Citrix XenMobile Server File Disclosure | 7.5 | · Impending ThreatHigh-Value Target | File enumeration | Improper Access Control |
CVE-2020-3187 Cisco Adaptive Security Appliance/Firepower Threat Defense Path Traversal | 9.1 | · Impending ThreatHigh-Value Target | File enumeration | Improper Access Control |
CVE-2020-2021 Palo Alto Networks PAN-OS SAML Authentication Bypass and Remote Code Execution | 10 | · Impending ThreatHigh-Value Target | Network pivot | Improper Access Control |
CVE-2020-14500 Secomea GateManager Unauthenticated Remote Code Execution | 9.8 | · Impending ThreatHigh-Value Target | Network pivot | Improper Access Control |
CVE-2020-26085 Cisco Jabber Remote Code Execution Patch Bypass | 9.9 | · Impending ThreatHigh-Value Target | Remote code execution | Injection |
CVE-2020-3495 Cisco Jabber XHTML-IM XSS & Remote Code Execution | 9.9 | · Impending ThreatHigh-Value Target | Remote code execution | Injection |
CVE-2020-17008 splWOW64 Elevation of Privilege Patch Bypass | TBD | · Impending ThreatTechnical Details Widely Available | Local code execution | Memory Corruption |
CVE-2020-0609 Windows Remote Desktop Gateway Remote Code Execution "BlueGate" | 9.8 | · Impending ThreatTechnical Details Widely Available | Remote code execution | Memory Corruption |
CVE-2020-1170 Windows Defender Local Privilege Escalation | 7.8 | · Impending ThreatTechnical Details Widely Available | Local code execution | Improper Access Control |
CVE-2020-1337 Windows Print Spooler Service Arbitrary File Write "PrintDemon" Patch Bypass #1 | 7.8 | · Impending ThreatTechnical Details Widely Available | Local code execution | Improper Access Control |
CVE-2020-6926 HP Device Manager Remote Method Invocation/Backdoor Database User | 9.9 | · Impending ThreatTechnical Details Widely Available | Network infrastructure compromise | Deserialization / Java |
CVE-2020-17132 Microsoft Exchange Server DLP Policy Remote Code Execution Patch Bypass | 8.4 | · Impending ThreatTechnical Details Widely Available | Remote code execution | Injection |
该表中“可利用exploit”的引用都表示Metasploit模块,这些模块已经过成熟的开发和测试,以便在各种平台上兼容。Metasploit并不是功能上唯一成熟的可利用工具包——例如,在Impacket上构建的Zerologon漏洞,在它被移植到Metasploit框架之前就已经达到了可利用漏洞的标准。同样,“高价值目标(high-value target)”是一个主观的术语,介于我们列出产品的使用率的高低,这应该是一个容易被大家接受的术语。“广泛可用的技术细节(Technical details widelyavailable)”指的是可以识别、触发和(经常)利用有关漏洞深入且公开的信息。技术细节通常包括概念验证代码或演示。
当一个对攻击者来说有显著价值的产品出现漏洞,并且最近有相应的攻击历史存在时,即使没有证据表明在野生环境下的攻击是成功的,但我们也有理由认为威胁三角的“意图”一角是存在的。这一原则最好的例子莫过于Microsoft Exchange和SharePoint漏洞,其中三个是显著的紧急威胁(SharePoint CVE-2020-16952和Exchange CVE2020-16875和2020-17132)。近年来,这两种产品一直是零日研究、漏洞开发和野生攻击的头号目标,其实这并不奇怪,毕竟Exchange和SharePoint环境中的漏洞可能会导致全面接管Active Directory。
“我们认为Microsoft Exchange和SharePoint中的CVE是最紧急的威胁候选对象,无论其是否已经发布了利用代码”
遗憾的是,其修补程序的速度依然相对滞后,详情如下图:
这一组中还有一些cve对于潜在的攻击者来说非常重要,例如:HP Device Manager CVE-2020-6926和VMwarevCenter Server CVE-2020-3952它们分别是Windows thin客户端管理软件和虚拟化基础设施管理软件中的严重漏洞。通过利用这些漏洞,攻击者不仅可以访问目标软件本身,还可以访问该软件管理的所有子资产。其中SaltStack Salt CVE 2020-16846和2020-25592也是严重漏洞,如果将它们结合在一起时,未经验证的远程攻击者就会有机会获得对目标系统根的访问权限,并对网络基础设施进行破坏性攻击。最后,为了避免我们忘记Cisco的Jabber即时消息平台现在还处于“服役”状态,CVE-2020-3495为本地攻击者提供了可用于蠕虫公司网络的半数攻击链。
第一次/第二次/第三次:补丁绕过
2020年出现补丁绕过的CVES:
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2020-3950 VMware Fusion Local Privilege Escalation (Incomplete Patch) | 7.8 | · Impending ThreatExploit Available | Local code execution | Improper Access Control |
CVE-2020-26085 Cisco Jabber Remote Code Execution Patch Bypass | 9.9 | · Impending ThreatHigh-Value Target | Remote code execution | Injection |
CVE-2020-1170 Windows Defender Local Privilege Escalation | 7.8 | · Impending ThreatTechnical Details Widely Available | Local code execution | Improper Access Control |
CVE-2020-17008 splWOW64 Elevation of Privilege Patch Bypass | TBD | · Impending ThreatTechnical Details Widely Available | Local code execution | Memory Corruption |
CVE-2020-1337 Windows Print Spooler Service Arbitrary File Write "PrintDemon" Patch Bypass #1 | 7.8 | · Impending ThreatTechnical Details Widely Available | Local code execution | Improper Access Control |
CVE-2020-17132 Microsoft Exchange Server DLP Policy Remote Code Execution Patch Bypass | 8.4 | · Impending ThreatTechnical Details Widely Available | Remote code execution | Injection |
CVE-2020-3992 VMware ESXi OpenSLP Use-After-Free Remote Code Execution (Incomplete Patch) | 9.8 | · Targeted ThreatExploited in the wild | Network infrastructure compromise | Memory Corruption |
CVE-2020-17496 vBulletin subWidgets data RCE | 9.8 | · Widespread ThreatExploited in the wild (released as 0 day) | Remote code execution | Injection |
CVE-2020-14750 Oracle WebLogic Unauthenticated Remote Code Execution Patch Bypass | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
当企业内部发现新的紧急漏洞补丁发布的时候,他们一般不会按平日预定的补丁修复计划去执行,而是选择直接打补丁。但这样做的前提是,供应商提供的补丁或缓解措施是经过严格审查的,并且(至少在某种程度上)是值得信赖的。在这点上攻击者则会遵循完全不同的原则。即,发现一个缺陷意味着这个系列产品可能有更多的缺陷可以去发掘,且这些缺陷通常存在于目标产品代码库的相同功能、或部分协议中。然而,对于攻击者来说,花精力寻找零日漏洞的意义并不是特别大,因此他们可以在一个修补过的漏洞上进行操作并修改,然后使这个补丁不生效,让漏洞重新暴露出来。
2020年,在大量的供应商、产品、web应用程序、操作系统和库中,都出现了一些绕过cve的补丁和不完整的修复。我们在这里详细介绍其中的9个,但这些还远远不够全面。2020年是补丁绕过程序发展标志性的一年,这对于许多没有周期性漏洞管理导致风险增加而不知情的组织来说是不幸的。我们在此报告中包含的许多补丁绕过程序也都有一些父级漏洞,它们要么在野外被频繁利用(例如,Oracle WebLogic Server CVE-2020-14750、Windowskernel CVE-2020-17008、vBulletin CVE-2020-17496),要么被频繁记录在案(例如,Windows“PrintDemon”CVE-2020-1337)。
用什么可以解释此漏洞的产生?在某些情况下,漏洞的形成越复杂可能会使解决方案相应地变得复杂,从而无法快速,有效地开发。
Microsoft Exchange CVE-2020-16875就是一个很好的例子,这个“修复”掐断了公开的攻击链,但却没有解决其根本原因,导致了后续出现了相应的补丁绕过CVE-2020-17132。
当在主机系统的核心架构密切相关的组件或行为中出现漏洞时,也很难找到根本原因,因为对这些漏洞尝试修复可能会对正常使用造成不利影响。有时,当漏洞可以在应用程序内部使用时,就会出现这种情况,例如vBulletin CVE-2020-17496。在这种情况下,该漏洞与PHP模板的处理方式有关——vBulletin中的意图和重要功能。如果您正在寻找第二个用例,那PyYAML库漏洞是一个很好的用例。在这两种情况下,维护此类项目都会选择实施过滤和其他控制,以限制攻击者对脆弱功能的访问。当然,这些控制最终都容易被绕过。
在过去的一年中,补丁绕过的普遍存在强调了对纵深防御策略的需要,包括对关键和暴露在外系统的安全意识。更多建议见本报告末尾的防御指南部分。
当需要了解到一个新的漏洞时,我们首先要了解的是其产生的根本原因以及攻击者可能利用该漏洞来实现什么目的。从应用程序编程错误到加密实现,再到硬件错误等等,任何一部分出现失误都会导致漏洞产生。同样,任何既定漏洞的潜在影响可能会根据现实情况、安全控制、以及攻击者,通过利用而获得的数据或权限的敏感性而有很大差异。
您可能已经注意到,我们已经按照攻击者实用程序和脆弱性类别对报告数据集合中的漏洞进行了分类,并按照威胁状态将它们分开。攻击者实用程序(Attacker Utilities)描述攻击者希望通过成功的攻击获得什么(这通常反应到攻击链的一部分),而脆弱性类别是一个总称,它包含了根本原因和可能触发它的高级技术类型。
我们已经定义了四个脆弱性类别——不适当的访问控制、内存损坏、注入和反序列化——它们有助于对可用的攻击者工具进行初步评估,并形成关于相对可利用性的假设。例如,注入攻击使用精心制作的输入和技术(例如SQL注入、操作系统命令注入)来破坏数据完整性以作为高特权用户运行任意代码。相较于利用内存损坏漏洞的攻击,这种攻击往往是稳定且可靠的,更不容易对目标系统造成破坏。反序列化漏洞具有很高的可利用性,并拥有大量现成的工具来构建可利用链。不恰当的访问控制缺陷(在我们的高频利用威胁中是最常见的)从复杂的工具攻击到使用url构造等,几乎无所不在。
“2020年11个最严重和最具影响的漏洞都是由反序列化和不适当的访问控制漏洞造成的”
不当的访问控制漏洞对公司网络的威胁几乎相同,允许攻击者绕过身份验证(如果存在身份验证的话)、执行代码、添加管理用户和将文件写入磁盘。这些缺陷一直模糊了漏洞管理和事件响应之间的界限。
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2019-18935 Telerik UI RadAsyncUpload .NET Deserialization | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / .NET |
CVE-2020-0688 Microsoft Exchange Server Static Validation Key Remote Code Execution | 8.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / .NET |
CVE- 2020-10189 Zoho ManageEngine Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild (released as 0day) | Network infrastructure compromise | Deserialization / Java |
CVE-2020-15505 MobileIron Core and Connector Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / Java |
CVE-2020-1472 NetLogon Elevation of Privilege "Zerologon" | 10 | · Widespread ThreatExploited in the wild | Lateral movement | Improper Access Control |
CVE-2020-11651 SaltStack Salt Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network infrastructure compromise | Improper Access Control |
CVE-2019-19781 Citrix NetScaler ADC/Gateway/SD-WAN Arbitrary Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-5902 F5 Big-IP TMUI Remote Code Execution | 10 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-14750 WebLogic Unauthenticated Remote Code Execution Patch Bypass | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-6287 SAP NetWeaver AS Java "RECON" | 10 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-14882 Oracle WebLogic Server Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
我们的研究人员在分析紧急威胁时定义的第二个要素回答了这样一个问题:“作为一个攻击者,这个漏洞给我带来了什么?”例如:远程代码执行就是是供应商和CVE编号机构(CNAs)经常描述严重漏洞的一种方式,但在某些情况下,这种描述淡化了严重CVE可用于进一步危害网络的信息。
不出所料,为攻击者提供远程代码执行机会(即在目标系统上执行有效负载的能力)的漏洞是我们分析的50个CVE中最具代表性的实用程序类型,几乎占总数据总合的50%。相对于其他类型的漏洞来说本地代码执行的特性就不那么突出了,但这也不足为奇了,因为从互联网发起对互联网的攻击要相对容易得多。经过我们分析觉得对于攻击者而言,他会觉得可以破坏整个网络基础设施(例如,虚拟化或自动化基础设施)所获得的成就感大大的超过单一的目标攻击。
“文件枚举的 CVEs 在安全新闻或社交媒体上成为头条新闻要少得多,但往往这些信息泄露的都是很重要的信息,并且可以借助这些消息知晓代码执行路径,原本需要验证身份的CVE漏洞现在不需要身份验证即可执行。”
其中一个最好的例子是CVE-2019-11510,它是Pulse Secure vpn中一个未经验证的远程任意文件读取漏洞,利用该漏洞可泄露密码和私钥等敏感信息。这些信息使攻击者能够在易受攻击的VPN服务器上以root身份执行命令。(GitLabCVE-2020-10977则是另一个最新的例子!)
我家大门常打开:Network Pivots(网络枢纽)
2020网络枢纽CVES:
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2020-5135 SonicWall SonicOS Portal Buffer Overflow | 9.4 | · Impending ThreatHigh-Value Target | Network pivot | Memory Corruption |
CVE-2020-2021 Palo Alto Networks PAN-OS SAML Authentication Bypass and Remote Code Execution | 10 | · Impending ThreatHigh-Value Target | Network pivot | Improper Access Control |
CVE-2020-14500 Secomea GateManager Unauthenticated Remote Code Execution | 9.8 | · Impending ThreatHigh-Value Target | Network pivot | Improper Access Control |
CVE-2020-12271 Sophos XG Firewall Unauthenticated SQL Injection | 9.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Network pivot | Injection |
CVE-2020-8195 Citrix NetScaler ADC/Gateway/SD-WAN WANOP Improper Access Control | 6.5 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-8193 Citrix NetScaler ADC/Gateway Authentication Bypass | 6.5 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-8196 Citrix NetScaler ADC/Gateway/SD-WAN WANOP Improper Access Control | 4.3 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2019-19781 Citrix NetScaler ADC/Gateway/SD-WAN Arbitrary Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-5902 F5 Big-IP TMUI Remote Code Execution | 10 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
对于攻击者来说,从外部网络攻击转向内部网络攻击的能力是一个重要的分水岭。这里不得不说网络枢轴了。它可以使攻击者能够看到内部和外部的流量,通常是去利用面向internet的系统,如vpn、防火墙、路由器和其他网关设备。网络枢纽有助于攻击者进行数据泄露、流量嗅探和目标网络内的进一步攻击; 简言之,对于世界各地的渗透测试人员来说,拿到网络枢纽权限,才能打开企业内部的大门。
过去一年中最受关注和普遍利用的漏洞大多数都属于网络枢纽类。例如,2020年出现大规模攻击的第一个漏洞是Citrix NetScaler/Application Delivery Controller CVE-2019-19781,这是一个目录遍历漏洞,在2019年12月首次出现,并一直困扰着安全事件响应人员。该漏洞允许远程未经验证的攻击者在易受攻击的网关上执行代码,而且它不是2020年唯一一个充当攻击者网络枢纽的Citrix CVE。NSA于10月警告称,中国国家资助的参与者正在利用Citrix应用程序交付控制器中的另外三个漏洞,其中至少有一个漏洞是可用于提取有效的VPN会话,来获取内部网络访问权限。
对于许多网络维护者来说,2020年6月29日至7月29日是本已充满挑战的一年中特别噩梦般的时期:在此期间,不少于四个CVSS 10漏洞被爆了出来,甚至其中三个发生在短短两周内。6月29日,Palo Alto Networks发布了一份针对CVE-2020-2021的安全建议,这是一个影响公司PAN-OS操作系统的SAML认证绕过,该系统运行在网关、门户、VPN和公司的下一代防火墙上。幸运的是,SAML(security assertion markup language)默认不是使用的身份验证方案,该公司强调,攻击者需要特殊的网络访问权限才能成功利用此漏洞。尽管后续公布了Palo Alto Networks在公共互联网上的Global Protect VPN实例不到70000个,但这依然是一个诱人的香饽饽,攻击者们会试图通过访问这些受保护的资源并找到进入企业网络的途径。
一天后,也就是2020年6月30日,F5 Networks悄悄地发布了一份安全公告,通知客户CVE-2020-5902是一个严重的远程代码执行漏洞,存在于其BIG-IP产品流量管理用户界面(TMUI)的“未公开页面”中。几天之内,多个在野外被利用的证据就被公布了出来,同时有报道称,其中有数千个挖矿工具和针对易受攻击的BIG-IP的自动抓取工具,被暴露在了互联网上。F5在7月8日披露,他们之前发布的缓解建议是可以规避的,任何TMUI接触到互联网的人都应该调用事件响应程序——这是一系列类似于今年早些时候Citrix CVE-2019-19781的事件,尽管规模更大。
直到2020年7月底,安全公司Claroty才发布了一项研究,详细描述了影响已公布的各种VPN关键漏洞,这些案例主要用于工业控制系统(ICS)和运营技术(OT)网络。综上所述,部分cve允许攻击者解密VPN流量、远程执行代码并窃取凭证以用于进一步的攻击。不仅如此,据了解,大约还有1900多个VPN网关居然将其Telnet管理端口暴露在公共互联网上。
在每一种情况下,易受攻击的网关产品都放大了漏洞的严重性,加大了攻击的影响面。10月,在Zerologon对易受攻击的域控制器造成严重破坏的几个星期后,美国网络安全基础设施和安全局(CISA)发布了一份通报,通报了APT参与者除了攻击力关键基础设施和选举组织外,还利用Zerologon和部分网络枢纽漏洞,攻击了联邦,州,地方和部落网络。CISA列出的几个潜在目标漏洞,包括Palo Alto Networks、F5和上面讨论的Citrix漏洞,在本报告中被列为潜在或主动威胁。而且他们并不是唯一这样做的人:首先,任何被识别为我们数据中的网络枢纽的漏洞都可能被用于类似的目的。其次,它们对攻击者的获利相较与去做漏洞提交来得更加直接。
Blues, Bleeds, Neighbors和 Ghosts:内存损坏漏洞
2020 内存损坏漏洞:
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class | ||||
CVE-2020-5135 SonicWall SonicOS Portal Buffer Overflow | 9.4 | · Impending ThreatHigh-Value Target | Network Pivot | Memory Corruption | ||||
CVE-2020-16898 Windows TCP/IP Remote Code Execution "Bad Neighbor" | 8.8 | · Impending ThreatHigh-Value Target | Remote code execution | Memory Corruption | ||||
CVE-2020-17008 splWOW64 Elevation of Privilege Patch Bypass | TBD | · Impending ThreatTechnical Details Widely Available | Local code execution | Memory Corruption | ||||
CVE-2020-0609 Windows Remote Desktop Gateway Remote Code Execution "BlueGate" | 9.8 | · Impending ThreatTechnical Details Widely Available | Remote code execution | Memory Corruption | ||||
CVE-2020-17087 Windows Kernel Local Privilege Escalation | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Local code execution | Memory Corruption | ||||
CVE-2020-0986 Windows Sandbox Escape via splw64 Untrusted Pointer Dereference | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day*) | Local code execution | Memory Corruption | ||||
CVE-2020-1020 Windows Adobe Font Manager Library Remote Code Execution | 8.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption | ||||
CVE-2020-14871 Oracle Solaris PAM Remote Code Execution | 10 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption | ||||
CVE-2020-15999 Google Chrome FreeType Heap Buffer Overflow | 6.5 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption | ||||
CVE-2020-3992 VMware ESXi OpenSLP Use-After-Free Remote Code Execution (Incomplete Patch) | 9.8 | · Targeted ThreatExploited in the wild | Network infrastructure compromise | Memory Corruption | ||||
CVE-2020-3118 Cisco IOS XR Software Discovery Protocol Format String Vulnerability "CDPwn" | 8.8 | · Targeted ThreatExploited in the wild | Remote code execution | Memory Corruption | ||||
CVE-2020-1350 Windows DNS Server Remote Code Execution "SigRed" | 10 | · Targeted ThreatExploited in the wild | Remote code execution | Memory Corruption | ||||
CVE-2020-0796 Windows SMBv3 Client/Server Remote Code Execution "SMBGhost" | 10 | · Widespread ThreatExploited in the wild | Remote code execution | Memory Corruption | ||||
*卡巴斯基看到针对CVE-2020-0986漏洞的野生攻击行为后,提供了CVE-2020-0986的报告。但表示,在他们通知之前,微软已经准备了一个补丁。即使卡巴斯基不是唯一一家观察到此行为的公司,但仍然将这个CVE归为零日漏洞里。
在经历过WannaCry的相关安全人员向我们归结了,当面对像2017年的MS17-010和永恒之蓝这种对Windows网络协议(如SMB和RDP)进行攻击的时候,我们应该如何做好防护措施。其实在某种意义上来讲在每周二进行漏洞公布的时候,会给网络安全团队带来很大的压力。并且在漏洞起名上又常常为这些协议漏洞起了一些类似“Blue”“Bleed”等吸引眼球的字眼。在对外的各种安全新闻中又经常将其与“wormable”绑定。但是这些漏洞几乎都没有占得住脚的依据。
2020年的安全新闻标题鼓吹Windows网络协议漏洞中至少有四个可被蠕虫利用的漏洞,还会涉及一些主流供应商的其他漏洞。尽管这些漏洞有些早已声名在外,但预言中的蠕虫却一直没有出现(除了“SMBGhost”),更没有发现大规模的利用。这是为什么呢?
其实只要有足够的技能、机会和动机,大多数的漏洞都可以被或多或少的利用。但这也不排除有的漏洞更难触发,也更难可靠地将其武器化。当然,我们在这里说的是内存损坏漏洞,这是漏洞研究领域最容易导致服务异常的一类漏洞,也是攻击类别里比较著名的类别,如ETERNALBLUE和(在较小程度上)BlueKeep。我们说的内存损坏其实是一大类漏洞,涉及到滥用数据来更改内存并导致意外行为。其实内存损坏类别还包含更细的漏洞类型,如堆栈和堆缓冲区溢出、类型混淆和使用后释放(UAFs)。
当成功利用内存破坏漏洞时,可能导致任意代码执行,或者导致未受处理的状态异常,最终使应用程序崩溃,从而触发拒绝服务(DoS)攻击。前者在局部攻击中更为常见,而后者在针对可上网目标的远程攻击中更为突出。近年来,安全措施做的越来越全面,在某一程度上来讲,极大地复杂化了内存破坏漏洞的利用。因此,开发利用内存损坏的攻击需要更加专业的技巧,通常需要手动进行二次侦察(例如,找到堆或内核内存泄漏,以成功执行攻击),这极大的限制了漏洞利用应用程序的出现频率。即使内存破坏漏洞利用成功(例如ETERNALBLUE),但其可靠性也仍然是一个不容忽视的问题。
另一方面,内存损坏漏洞编写的漏洞攻击与其他更容易开发的攻击相比,有一些不得不说的优势。比如,在进程或其他内存空间内执行任意代码可以更好地隐藏恶意代码,并留下较少的痕迹(例如,接触磁盘、生成新进程),这提高了恶意攻击者在进行恶意操作时的安全性。此类型的漏洞也可能直接出现在目标中,通常出现在不需要身份验证或单独安装的基本功能中。以10月份的“Bad Neighbor”漏洞(CVE-2020-16898)为例:漏洞默认影响所有版本的Windows,即需要开发在开发时能更加精细,但这样就不需要考虑入侵环境对成功率的影响。
“Bad Neighbor”,“BlueGate”,“SigRed” 以及其他一些热门的cve,在今年从未发布过高效的公共可利用工具。虽然在多数情况下,根本就不会有这种工具的发布。因为想要将内存损坏的DoS动作转换为完全武器化的远程代码执行,这本身就并非是一件容易的事。
但是,在没有公开工具发布作为借鉴的情况下,即使不是独立自己开发。产出这类型bug的攻击武器,其难度系数还是很高的。
在资源的拥有度上,有官方背景的黑客和其他久经沙场的攻击者明显会更占优势。在一定程度上,那些漏洞贩子也是,他们可以直接通过倒卖信息获取更有利的资源。考虑到这一点,就可以理解,为什么2020年的一些内存损坏漏洞到最后揪出来的幕后黑手都是有官方背景的,不管它们是被披露为零日漏洞,还是在几个月后由情报机构公布的外国网络活动信息名单。其中Oracle Solaris CVE-2020-14871和Windows kernelCVE-2020-0986都符合前一种描述,而SigRed (CVE-2020-1350)和Cisco IOS XR CVE-2020-3118则符合后一种描述。IOS XR漏洞是一个典型的例子,这种漏洞在大规模上利用是完全不切实际的。攻击者想要完成成功的攻击需要在局域网内,直接连接到易受攻击的交换机上——这显然是一种监守自盗的行为。
这种情况可能会在2021年更加突出,甚至可能在Windows网络协议中看到更严重的内存损坏漏洞。虽然在很多情况下,我们都处于忐忑不安的情绪下,但在我们真正面对它们时仍然需做到沉着修补不要惊慌。
以下部分内容截取自SCADAfence研究团队撰写的文档。SCADAfence是一个为企业、工业组织和关键基础设施提供安全运营技术(OT)和物联网(IoT)网络技术的全球领导者。
2020年出现了一系列严重程度很高的漏洞,它们威胁着OT和工业网络,随着深入了解此类脆弱性漏洞,发现想要利用这些漏洞,所面临的第一道坎就是技术的不统一。但2020年推出的这些漏洞数据,并不是第一次告诫我们这个行业潜在威胁的数量正在日益增长,毕竟该行业一直在遭受大规模的网络攻击。
首先,OT,即操作技术(OperationTechnology ),是工厂内的自动化控制系统操作专员为自动化控制系统提供支持,确保生产正常进行的专业技术。其中许多系统都有几十年的历史,很明显,OT环境还没有为互联网时代做好准备。最初的解决方法是通过断开所有的网络连接来对这些系统进行隔离。然而,事实证明,这种方法相当不切实际。OT公司现在需要与互联网接轨来帮助他们保持产品更新以及面临更强力的竞争——比如改进的监控和物流、远程支持、软件更新、开发新的连接产品的能力,等等。
因此,OT资产所有者必须解决在日益互联的世界中最小化风险的挑战。当然目前也遗留了许多过时系统仍然广泛地部署在操作环境中,并且其中大多数在设计时没有考虑到安全性。从重型设备和工业路由器到面向互联网的门户网站和通用软件库,几乎所有部署的OT系统都存在大量漏洞,这是不可回避的事实。这些漏洞影响到数百万设备和数百家供应商,并且有些很难通过源头(供应商)去实现减小风险,甚至有的供应商都技术去无法识别产生的这些漏洞。
OT 安全指南
虽然资产管理者通常拥有Windows终端、服务器和其他设备的全面资产清单,但在OT设备方面却少有记录。这一差距意味着资产所有者无法向其组织的漏洞管理流程提供必要的信息,这些信息包括但不限于供应商、设备型号、版本和是否对外暴露等全面详细信息。如果不全面了解OT设备可能会产生的攻击面,那对它的风险管理又怎么能够全面呢?
每当有漏洞被发布时,特别是当它们可以被利用时,资产所有者应该立刻执行资产评估,以确定漏洞的潜在影响和组织可能存在的风险。某些资产所有者可能仅仅基于CVSS分数对他们受影响的可能性进行评估,但是光凭这一种信息很容易导致误判,从而影响漏洞修复的效率。
反过来想,当组织在评估影响 OT 和IoT 设备的漏洞研究或新闻文章时,也会有助于自己自检。在企业里如果不多维度去考虑如何降低风险的办法(例如不常见的配置或不太可能的攻击场景)最终会容易落得千虑一失的结果。
当然,资产所有者还应考虑采用自动化工具,帮助识别、优先排序和修复OT漏洞,以支持OT漏洞管理计划。理想情况下,工具应帮助OT网络管理人员了解其易受攻击的面和被利用的概率;这可能包括自动资产清查、漏洞关联引擎和网络暴露分析工具。有关此主题的更多信息,请参阅SCADAfence OT漏洞管理指南( OT Vulnerability Management guide),该指南兼作工业设备修补的综合指南。
4.2020年威胁响应的主要要点
依据本节中提供的防御指南可以有效的防止报告中许多漏洞的利用,并帮助维护者更快地识别出危害或可疑活动的迹象。首先我们发现,面向不同企业的安全建设方案很少是一模一样的,即使在相同规模、行业和市值的企业中,安全程序的成熟度也存在很大差异。所以,以下建议仅概括了适用于加强防范意识和本文中强调的一些特定风险的经验:
即使未发现被高频利用的威胁,也应尽早并尽可能频繁地进行补丁修复。
当严重漏洞在发布数小时或数天内被利用时,应在可能的情况下紧急执行修补程序。除了对入侵检测和预防系统进行微调外,监视可疑行为和事件也是必须的。在紧急情况下,仅仅依靠通用规则和签名认证来做防护是不可取的。因为攻击者通常会找到方法来绕过它们。F5 BIG-IP CVE-2020-5902就是一个很好的例子。
即使是这份报告中几个最为严重的漏洞直到发布数周或数月后才被高频利用(例如,Zerologon, SMBghost, Microsoft Exchange Server CVE-2020-0688)。所以在任何情况下,执行30天的补丁修补周期计划,这将大大有助于防止时间跨度较长的攻击。特别是来自有一定规模的恶意攻击者(例如,僵尸网络运营商、勒索软件活动、脚本小子等)。
采取纵深防御是比单独漏洞修补更有效的策略。
老练的攻击者是足智多谋的,面对他们我们不能有一点的投机取巧。因为他们可以使用各种工具、技术、弱点、信息来构建一个成功的攻击链。这时候只做补丁修复也并不总是有效的,正如CVE-2020-14882和CVE-2020-16875那样,它们曾多次出现了补丁无效的情况。
此外,在本报告中有许多单独存在的CVE可以与一个或多个额外的漏洞一起使用,以实现超出单个CVE影响范围的东西。防御者需要在攻击还未到来之前保持谨慎,不要将单个漏洞视为无关紧要的存在,而是选择在整个环境中实现实时控制和保持持续检测的机制。
最后,需要确保跨网络通讯和主机设置有(最好是聚合的)日志记录,这将在威胁活动事件期间节省一些自检的时间。除此外,也需要多了解一些特征库和低成本(或免费)规则集, 至少可以让维护者基本了解其环境中的潜在入侵点在哪儿,当然也可以了解现有的商业解决方案。最终我们的目的是,提高安全人员的安全意识以及对威胁事件的敏锐度,这将有助于在危急来临时做出更快、更有效的反应。
保持更新自己的资产信息,其中特别是位于外围和可能被用作外部攻击者访问内部网络的节点的资产或产品。
了解对外开放的资产和关键的网络入口点,可以在出现面向互联网的严重漏洞时节省时间。请特别注意安全网关产品(例如VPN和防火墙)以及其他由于常规运维或必要对外开放的资产。像CVE-2019-19781和CVE-2020-0688就是一个很好的案例。
管理和管理接口不应暴露于公共互联网。同样的道理也适用于域控制器,也包含企业不希望外部攻击者能够探测的其他资产,例如物联网设备在不知情的情况下暴露在网上。定期审计暴露在互联网上的资产信息,如果条件允许的话,可以定期进行外部渗透测试。
为什么选择这些CVE
在分析漏洞时,它所处的环境是最重要的,在管理漏洞时也是如此。对漏洞的深入研究之前我们是如何获知它的相关信息的呢——通过发出警告的供应商、来自朋友的一些私人情报、一个推特信息或一篇新闻文章。简而言之,本报告中的漏洞之所以会被我们重视,不仅是因为它们在各大社区反响较为强烈,关键还吸引了大量跃跃欲试的黑客对它的探究。并且,它们还会影响到各行各业以及个人平时所依赖的软件和系统。此数据中不包括2020 年所有 CVE 以及另外的主动攻击事件,但它确实可以用来代表各种攻击者利用案例进行研究。
当然,我们的并不是要暗示其他任何一个CVE或漏洞都没有本文中出现的漏洞重要。我们只是让各个安全团队,网络管理员和整个防御者都深入了解了,哪些资产对于他们的环境来讲是至关重要的。以及面对威胁时所采取的措施是否会影响其业务优先级。
说明文档
本报告中介绍的CVE几乎都始于2020年,但有两个例外:Telerik UI CVE-2019-18935和Citrix NetScalerADC / Gateway CVE-2019-19781,它们均于2019年底发布,但是却在2020年得到持续利用。
由于数据的可信度很重要,因此我们尽可能列举出坐实了被列为野外利用的漏洞,也就是说,我们引用了相对可信的检测、验证以及报告。本文所引用的主要来源包括美国情报机构关于高级持续性威胁(APT)利用的警报;安全公司分析他们在事件响应或其他调查期间跟踪的威胁和IOCs;以及指定野生开发的供应商公告(包括以零日披露的cve)。
在本报告中,我们归类为在野生被利用的CVE并不是在2020历年期间被频繁利用的全部漏洞。例如,我们排除了一些利用在Internet Explorer,Chrome, Firefox上的漏洞。如果想了解这些信息可以在Google Project Zero 上的电子表格查看,上面记录了2020年在野生开发的其他一些零日漏洞。
术语表
Attacker Utilities(攻击者实用程序)
远程代码执行(RCE):远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。通常指在目标系统上执行有效负载的能力(例如,获取shell会话)。有助于凭证窃取、数据过滤等。
本地代码执行:在攻击者已具有某些访问权限的系统上运行本地代码的能力。最常用于提升权限(例如,以运行易受攻击应用程序的用户身份执行代码)。
网络基础设施受损: 网络基础设施的危害,如网络管理系统或备份系统,可能使攻击者访问由该软件管理的所有内容。虚拟化、自动化和/或设备管理基础设施中的漏洞都属于这一类。
网络枢纽:从外部网络转向内部网络的能力,通常通过利用面向互联网的系统(如 VPN、防火墙、路由器和其他网关设备)。网络枢轴使攻击者能够同时了解内部和外部流量,并在数据外泄、流量嗅探和目标网络内的进一步攻击方面提供帮助。
文件列举:枚举目标文件的能力。读取文件并不会给攻击者提供一个自己执行代码的路径,而是作为原始语言,允许攻击者收集信息,从而使攻击链的次要部分(例如,远程代码执行)成为可能。有助于攻击者跨过身份验证。
Vulnerability Classes(脆弱性类别)
反序列化: 是应用程序能够将数据从可移植格式转换为本机语言的数据类型的过程。许多语言都支持反序列化,包括Java、.NET、Python和Ruby。当加载到本机语言中的数据可能被恶意方篡改时,反序列化过程可能会对安全性构成威胁。典型的攻击包括将数据配置为使用执行操作系统命令所需的参数调用方法。这将导致在加载应用程序的环境中执行命令。此安全问题的常见解决方案包括,对数据进行加密签名以确保其真实性,以及使用允许加载的数据类型的allowlist。相关CWE:CWE-502。
访问控制不当:指对系统中特定接口的访问控制缺失或不足(通常是远程访问的API)。不正确地使用加密技术进行身份验证也属于此脆弱性类别。此问题的常见解决方案包括对所有敏感接口进行适当的身份验证、授权和记录,以及对所有相关机密文件的安全管理。相关CWE的列表:CWE-285、CWE-200、CWE-287、CWE-732。
内存损坏:这是一类很大的漏洞,它涉及到通过各种方法来更改内存并产生意外行为来滥用数据。这个脆弱性类别包括不适当的边界控制、类型混淆、未初始化的数据使用,以及释放后数据的使用等等。这些漏洞通常在不被认为是“type-safe”的语言中表现出来。成功利用内存破坏漏洞可能导致正在运行的应用程序环境中任意执行代码,或者出现未处理的异常,最终导致应用程序崩溃并触发拒绝服务(DoS)。此问题的常见解决方案通常涉及对关键操作(如用于加载和存储数据的操作)的参数进行额外验证。近年来,由于开发了各种此类漏洞的应对措施和安全措施,如kASLR、控制流保护、win32k类型隔离等,现在想成功地利用这些类型的漏洞会变得更加复杂。相关cwe的清单:CWE-787、CWE-125、CWE-416、CWE-190、CWE-476。
注入:这是一大类漏洞,涉及由关联系统以特定方式解释了由攻击者进行构建的的输入。在web应用程序中最常见的就是注入攻击,注入攻击通常会根据被解释的数据类型(例如SQL、LDAP、OS命令)进行更具体的分类。这些漏洞的根本原因几乎都是没有充分的过滤由发送方(恶意攻击者)收来的数据。这些漏洞利用往往对系统本身危害不大的,除非有意(如通过SQL或OS命令),否则很少导致服务出现问题。
特定的代码只能被他所匹配的环境所解释运行。例如,在web应用程序的情况下,SQL注入可以在后端数据库服务器上执行,而OS命令则被注入前端web服务器,JavaScript由最终用户的浏览器执行。因此,这类漏洞的独特之处在于,它通常通过某一个系统漏洞,去损害其他系统的完整性。此问题的常见解决方案通常涉及通过使用allowlist对参数实施严格的过滤。相关CWE的列表:CWE-79、CWE-20、CWE-89、CWE-94。
完整的漏洞列表
CVE | CVSS v3 | Threat Status | Attacker Utility | Vulnerability Class |
CVE-2020-3950 VMware Fusion Local Privilege Escalation (Incomplete Patch) | 7.8 | · Impending ThreatExploit Available | Local code execution | Improper Access Control |
CVE-2020-25592 SaltStack Salt Authentication Bypass | 9.8 | · Impending ThreatExploit Available | Network infrastructure compromise | Improper Access Control |
CVE-2020-3952 VMware vCenter Server/vmdir Information Disclosure | 9.8 | · Impending ThreatExploit Available | Network infrastructure compromise | Improper Access Control |
CVE-2020-16846 SaltStack Salt Command Injection | 9.8 | · Impending ThreatExploit Available | Network infrastructure compromise | Injection |
CVE-2020-16952 Microsoft SharePoint Authenticated Remote Code Execution | 7.8 | · Impending ThreatExploit Available | Remote code execution | Deserialization / .NET |
CVE-2020-16875 Microsoft Exchange Server DLP Policy Remote Code Execution | 8.4 | · Impending ThreatExploit Available | Remote code execution | Injection |
CVE-2020-8209 Citrix XenMobile Server File Disclosure | 7.5 | · Impending ThreatHigh-Value Target | File enumeration | Improper Access Control |
CVE-2020-3187 Cisco Adaptive Security Appliance/Firepower Threat Defense Path Traversal | 9.1 | · Impending ThreatHigh-Value Target | File enumeration | Improper Access Control |
CVE-2020-5135 SonicWall SonicOS Portal Buffer Overflow | 9.4 | · Impending ThreatHigh-Value Target | Network pivot | Memory Corruption |
CVE-2020-2021 Palo Alto Networks PAN-OS SAML Authentication Bypass and Remote Code Execution | 10 | · Impending ThreatHigh-Value Target | Network pivot | Improper Access Control |
CVE-2020-14500 Secomea GateManager Unauthenticated Remote Code Execution | 9.8 | · Impending ThreatHigh-Value Target | Network pivot | Improper Access Control |
CVE-2020-16898 Windows TCP/IP Remote Code Execution "Bad Neighbor" | 8.8 | · Impending ThreatHigh-Value Target | Remote code execution | Memory Corruption |
CVE-2020-26085 Cisco Jabber Remote Code Execution Patch Bypass | 9.9 | · Impending ThreatHigh-Value Target | Remote code execution | Injection |
CVE-2020-3495 Cisco Jabber XHTML-IM XSS & Remote Code Execution | 9.9 | · Impending ThreatHigh-Value Target | Remote code execution | Injection |
CVE-2020-17008 splWOW64 Elevation of Privilege Patch Bypass | TBD | · Impending ThreatTechnical Details Widely Available | Local code execution | Memory Corruption |
CVE-2020-1170 Windows Defender Local Privilege Escalation | 7.8 | · Impending ThreatTechnical Details Widely Available | Local code execution | Improper Access Control |
CVE-2020-1337 Windows Print Spooler Service Arbitrary File Write "PrintDemon" Patch Bypass #1 | 7.8 | · Impending ThreatTechnical Details Widely Available | Local code execution | Improper Access Control |
CVE-2020-6926 HP Device Manager Remote Method Invocation/Backdoor Database User | 9.9 | · Impending ThreatTechnical Details Widely Available | Network infrastructure compromise | Deserialization / Java |
CVE-2020-0609 Windows Remote Desktop Gateway Remote Code Execution "BlueGate" | 9.8 | · Impending ThreatTechnical Details Widely Available | Remote code execution | Memory Corruption |
CVE-2020-17132 Microsoft Exchange Server DLP Policy Remote Code Execution Patch Bypass | 8.4 | · Impending ThreatTechnical Details Widely Available | Remote code execution | Injection |
CVE-2020-17087 Windows Kernel Local Privilege Escalation | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Local code execution | Memory Corruption |
CVE-2020-10148 SolarWinds Orion API Authentication Bypass | 9.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Network infrastructure compromise | Improper Access Control |
CVE-2020-12271 Sophos XG Firewall Unauthenticated SQL Injection | 9.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Network pivot | Injection |
CVE-2020-1020 Windows Adobe Font Manager Library Remote Code Execution | 8.8 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption |
CVE-2020-4006 VMware Workspace ONE Command Injection | 9.1 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Injection |
CVE-2020-14871 Oracle Solaris PAM Remote Code Execution | 10 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption |
CVE-2020-15999 Google Chrome FreeType Heap Buffer Overflow | 6.5 | · Targeted ThreatExploited in the wild (reported as 0day) | Remote code execution | Memory Corruption |
CVE-2020-0986 Windows Sandbox Escape via splw64 Untrusted Pointer Dereference | 7.8 | · Targeted ThreatExploited in the wild (reported as 0day*) | Local code execution | Memory Corruption |
CVE-2020-1048 Windows Print Spooler Service Arbitrary File Write "PrintDemon" | 7.8 | · Targeted ThreatExploited in the wild | Local code execution | Improper Access Control |
CVE-2020-3992 VMware ESXi OpenSLP Use-After-Free Remote Code Execution (Incomplete Patch) | 9.8 | · Targeted ThreatExploited in the wild | Network infrastructure compromise | Memory Corruption |
CVE-2020-8195 Citrix NetScaler ADC/Gateway/SD-WAN WANOP Improper Access Control | 6.5 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-8193 Citrix NetScaler ADC/Gateway Authentication Bypass | 6.5 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-8196 Citrix NetScaler ADC/Gateway/SD-WAN WANOP Improper Access Control | 4.3 | · Targeted ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-0601 Windows CryptoAPI Spoofing Vulnerability "Curveball" | 8.1 | · Targeted ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-3118 Cisco IOS XR Software Discovery Protocol Format String Vulnerability "CDPwn" | 8.8 | · Targeted ThreatExploited in the wild | Remote code execution | Memory Corruption |
CVE-2020-1350 Windows DNS Server Remote Code Execution "SigRed" | 10 | · Targeted ThreatExploited in the wild | Remote code execution | Memory Corruption |
CVE-2020-10189 Zoho ManageEngine Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild (released as 0day) | Network infrastructure compromise | Deserialization / Java |
CVE-2020-17496 vBulletin subWidgets data RCE | 9.8 | · Widespread ThreatExploited in the wild (released as 0day) | Remote code execution | Injection |
CVE-2020-14750 WebLogic Unauthenticated Remote Code Execution Patch Bypass | 9.8 | · Widespread ThreatExploited in the wild (reported as 0day) | Remote code execution | Improper Access Control |
CVE-2020-3452 Cisco ASA/FTD Web Services Read-Only Path Traversal Vulnerability | 7.5 | · Widespread ThreatExploited in the wild | File enumeration | Injection |
CVE-2020-1472 NetLogon Elevation of Privilege "Zerologon" | 10 | · Widespread ThreatExploited in the wild | Lateral movement | Improper Access Control |
CVE-2020-11651 SaltStack Salt Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network infrastructure compromise | Improper Access Control |
CVE-2019-19781 Citrix NetScaler ADC/Gateway/SD-WAN Arbitrary Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2020-5902 F5 Big-IP TMUI Remote Code Execution | 10 | · Widespread ThreatExploited in the wild | Network pivot | Improper Access Control |
CVE-2019-18935 Telerik UI RadAsyncUpload .NET Deserialization | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / .NET |
CVE-2020-0688 Microsoft Exchange Server Static Validation Key Remote Code Execution | 8.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / .NET |
CVE-2020-0796 Windows SMBv3 Client/Server Remote Code Execution "SMBghost" | 10 | · Widespread ThreatExploited in the wild | Remote code execution | Memory Corruption |
CVE-2020-14882 Oracle WebLogic Server Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
CVE-2020-15505 MobileIron Core and Connector Remote Code Execution | 9.8 | · Widespread ThreatExploited in the wild | Remote code execution | Deserialization / Java |
CVE-2020-6287 SAP NetWeaver AS Java "RECON" | 10 | · Widespread ThreatExploited in the wild | Remote code execution | Improper Access Control |
*卡巴斯基看到针对CVE-2020-0986漏洞的野生攻击行为后,提供了CVE-2020-0986的报告。但表示,在他们通知之前,微软已经准备了一个补丁。即使卡巴斯基不是唯一一家观察到此行为的公司,但仍然将这个CVE归为零日漏洞里。
参考文献
安全性研究是一种社会追求。本报告得益于许多个人研究人员和研究团队的工作,包括但不限于以下人员的工作:
Steven Seeley, Vulcan 360 (2020)
JJ Lehmann and Ofri Ziv, Guardicore (2020)
Rajesh Nataraj, Sophos (2020)
Kevin Beaumont, Microsoft (2020)
Nahuel Sanchez, Pablo Artuso, Onapsis (2020)
Tom Tervoort and Ralph Moonen, Secura (2020)
Research and Intelligence Fusion Team (RIFT), NCC Group (2020)
Sophos Labs (2020)
Dirk-jan (dirkjanm) (2020)
x41sec (X41 D-SEC GmbH) (2020)
Tom Sellers, Rapid7 Labs (2020)
Maddie Stone, Google Project Zero (2020)
James Forshaw, Google Project Zero (2020)
Johannes B. Ullrich, Ph.D, SANS Technology Institute (2020)
Aaron Soto, Rapid7 (2019)
Jon Hart, Rapid7 Labs (2019)
Grant Willcox, Rapid7 (2020)
Joe Needleman, Andrew Nelson, Tony Lee, andMark Stevens, BlackBerry(2020)
Troy Mursch, Bad Packets (2019)
Shelby Pace, Rapid7 (2020)
Claroty Research Team, Claroty (2020)
Bob Rudis, Rapid7 Labs (2020)
John Miller, Matt Allen, Christopher Glyer,Ian Ahl, Nick Carr, FireEye(2017)
ollypwn (2020)
ZecOps Research Team, ZecOps (2020)
RiskSense (2018)
Brent Cook, Rapid7 (2019)
Craig Young, Tripwire (2020)
Daniel dos Santos, Stanislav Dashevskyi,Jos Wetzels, and Amine Amri,Forescout Research Labs (2020)
Maayan Fishelov, SCADAfence (2020)
Haozhe Zhang, Qi Deng, Zhibin Zhang andRuchna Nigam, Palo Alto(2020)
Christopher Glyer, Dan Perez, Sarah Jones,Steve Miller, FireEye(2020)
Volexity Threat Research, Volexity (2020)
Tony Lambert, Red Canary Intel (2020)
Boris Larin, Kaspersky (2020)
Andy Reactor, Mandiant (2020)
Kevin Beaumont (2020)
SophosLabs (2020)
Mateusz Jurczyk, Google Project Zero (2020)
Justin Moore, Wojciech Ledzion, Luis Rocha,Adrian Pisarczyk, Daniel Caban, Sara Rincon, Daniel Susin, Antonio Monaca, FireEye (2020)
Ben Hawkes, Google Project Zero (2020)
Nick Bloor (2020)
Voidsec (2020)
Itm4n (2020)
Marcus Hutchins, Kryptos Logic (2020)
如有侵权请联系:admin#unsafe.sh