杀手榜第五——CVE-2020-0601
影响系统:
Windows 10
Windows Server 2016
Windows Server 2019
攻击方法:
黑客可以通过发送钓鱼邮件,携带经过签名的恶意软件附件。员工在点击恶意软件时,由于很多杀软对恶意软件的判定依赖于是否签名,导致绕过防护,控制员工电脑
攻击工具是否公开:
目前利用工具已经在github上公开,任意一个人都可以用该工具签名恶意软件进行攻击
修复方案:
微软已经有补丁了,直接打。打补丁的过程中注意灰度
监控方案:
方案一:端上的安全软件检测签名是否为ECC签名,如果是,则很有可能是尝试利用
杀手榜第四——CVE-2020-2546&CVE-2020-2551
影响系统:
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
攻击方法:
一旦Weblogic以上版本开放了IIOP协议和T3协议,攻击者在没有用户名密码的情况下,都能攻击WebLogic的服务器,控制服务器
攻击工具是否公开:
目前github上尚未公开具体攻击工具,但已经有很多人根据已有信息开发出了攻击工具
修复方案:
Oracle官方已有补丁。如果没法打补丁,禁用IIOP协议。T3协议只允许内部访问。但这种缓解方案,通过SSRF攻击,或者钓鱼攻击之后,可以进一步控制Weblogic服务器
监控方案:
T3协议并非是标准的HTTP协议,所以常规的Web防火墙并不能很好的检测和拦截攻击。这里必须要使用主机上的检测方案。在服务器上部署主机入侵检测系统,来识别异常的命令执行。
杀手榜第三——CVE-2019-19781
影响系统:
Citrix ADC 和 Citrix Gateway version 13.0
Citrix ADC 和 NetScaler Gateway version 12.1
Citrix ADC 和 NetScaler Gateway version 12.0
Citrix ADC 和 NetScaler Gateway version 11.1
Citrix NetScaler ADC 和 NetScaler Gateway 10.5
这个Citrix ADC Citrix Gateway名字看起来很奇怪,其实就是Citrix用来做虚拟化的。如果公司里面有虚拟桌面等类似的平台,要注意下是否使用的是Citrix的平台做的。
攻击方法:一旦Citrix ADC对外或者存在SSRF漏洞,又或者黑客控制了一台内部机器,就可以直接控制Citrix ADC
攻击工具是否公开:
目前攻击工具已经在github上公开,并被大规模利用
修复方案:
目前Citrix已经提供了缓解方案
监控方案:
在Web防火墙中增加对/vpns/ 路径访问的监控
杀手榜第二——CVE-2019-11510
影响系统:
Pulse Connect Secure 9.0RX
Pulse Connect Secure 8.3RX
Pulse Connect Secure 8.2RX
Pulse Connect是一个VPN系统,
该VPN Server如果对外,就会存在该漏洞
攻击方法:
表面上这个漏洞是个读文件的漏洞,但由于
Pulse Connect把登录的用户名密码直接明文
存在某个文件里,可以通过该漏洞读出明文的
用户名密码。然后通过该用户名密码登录后,
就能控制该VPN Server。
攻击工具是否公开:
已经公开并已经被大规模利用
修复方案:
Pulse Secure官方已提供修复补丁
监控方案:
通过Web防火墙监控是否存在/dana-na/
关键词
杀手榜第一——CVE-2019-0708
影响系统:
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP
攻击方法:
只要以上版本的Windows系统开启了3389,
就能被直接控制
攻击工具是否公开:
已经公开
修复方案:
微软官方已提供修复补丁
监控方案:
通过EDR监控是否存在异常进程