本文來自微信公眾號“安全牛”。

日前，自動化網絡安全滲透測試平臺Vonahi Security發布了2024年度《滲透測試活動中的重大發現》報告，基于對超過1000家企業組織近萬次自動化網絡滲透測試活動的研究分析，研究人員總結了當前企業網絡系統在滲透測試過程中最容易被利用的10大安全弱點。盡管這些弱點是由不同的安全漏洞引發，但卻有許多的相似共同點。配置缺陷和補丁管理不足仍然是導致許多重大威脅隱患的主要原因。

1

MDNS欺騙

MDNS是一種用于小型網絡的DNS名稱解析協議，無需本地DNS服務器。它向本地子網發送查詢，允許任何系統使用請求的IP地址進行響應。通過大量的滲透測試活動發現，MDNS協議很容易被攻擊者利用，偽造使用自己系統的IP地址來進行響應。

防護建議：

防止MDNS欺騙的最有效方法是，如果MDNS未被使用，就應該將其禁用，這可以通過禁用Apple Bonjour或avahi-daemon服務來實現。

2

NBNS欺騙

NBNS（NetBIOS名稱服務）是一種當DNS服務器不可用時，內部網絡中用于解析DNS名稱的協議。它可以通過網絡廣播方式進行查詢，任何系統都可以使用請求的IP地址進行響應。NBNS協議也經常會被攻擊者利用，他們會使用自己系統的IP地址進行非法響應。

防護建議：

以下幾個策略可以防止或減小NBNS欺騙攻擊的影響：

•配置UseDnsOnlyForNameResolutions注冊表項，以便防止系統使用NBNS查詢（NetBIOS over TCP/IP配置參數），將注冊表項DWORD設置為1。

•禁用內部網絡中所有Windows主機的NetBIOS服務。這可以通過DHCP選項、網絡適配器設置或注冊表項來完成。

3

LLMNR欺騙

從Windows Vista起，Windows操作系統開始支持一種新的名稱解析協議——LLMNR（鏈路本地多播名稱解析），主要用于局域網中的名稱解析。LLMNR能夠很好的支持IPv4和IPv6，因此在Windows名稱解析順序中是一個僅次于DNS的名稱解析方式，更重要的是在Linux操作系統中也實現了LLMNR。通過滲透測試發現，LLMNR很容易被攻擊者所利用，他們可以使用自己系統的IP地址進行非法響應。

防護建議：

防止LLMNR欺騙的有效方法是配置多播名稱解析注冊表項，以防止系統使用LLMNR查詢。

•使用組策略：Computer ConfigurationAdministrative TemplatesNetworkDNS ClientTurn off Multicast Name Resolution=Enabled（若要管理Windows 2003 DC，請使用Windows 7版遠程服務器管理工具）。

•使用只適用于Windows Vista/7/10家庭版的注冊表項：HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTDNSClientEnableMulticast。

4

IPV6 DNS欺騙

當未授權的DHCPv6服務器部署在網絡上時，會出現IPv6 DNS欺騙。由于Windows系統偏愛IPv6而不是IPv4，啟用IPv6的客戶端將優先使用DHCPv6服務器（如果可用）。在攻擊過程中，IPv6 DNS服務器會被惡意分配給這些客戶端，同時保持它們的IPv4配置。這便于攻擊者通過重新配置客戶端以使用攻擊者的系統作為DNS服務器來攔截DNS請求。

防護建議：

如果業務不需要，應該禁用IPv6。由于禁用IPv6可能導致網絡服務中斷，因此強烈建議在大規模部署之前測試這項配置。如果需要使用IPv6，則應該在網絡交換機上實施DHCPv6保護機制。實際上，DHCPv6保護機制確保只允許授權的DHCP服務器列表將租約（lease）分配給客戶端。

5

老舊的Windows操作系統

老舊的Windows操作系統不會得到廠商的維護和安全更新，因此其中的安全漏洞很容易被攻擊者所利用。在大量的滲透測試中發現，老舊的Windows操作系統很容易成為攻擊者的目標，攻擊者可以利用其弱點，轉而攻擊網絡中的其他系統和資源。

防護建議：

組織應及時梳理掌握過時的Windows版本，采取針對性的防護，并在可能的情況下，盡快替換成有廠商支持的最新操作系統版本。

6

IPMI旁路身份驗證

IPMI是智能型平臺管理接口(Intelligent Platform Management Interface)。用戶可以利用IPMI監視服務器的物理特征，如溫度、電壓、電扇工作狀態、電源供應以及機箱入侵等。IPMI的一大特點在于它是獨立于CPU、BIOS和OS的，所以用戶無論在開機還是關機的狀態下，只要接通電源就可以實現對服務器的監控。然而，通過旁路身份驗證方式，攻擊者可以利用IPMI來繞過服務器的身份驗證環節，并提取密碼哈希。特別當密碼是默認密碼或弱密碼時，攻擊者就可以獲取明文密碼，并遠程訪問。

防護建議：

目前，針對IPMI旁路身份驗證還沒有針對性的補丁，建議組織執行以下一個或多個操作。

•將IPMI訪問限制于數量有限的系統上，即出于管理目的必需要訪問的系統。

•如果業務不需要IPMI服務，應立即禁用該服務。

•將默認管理員密碼改為復雜的強密碼。

•服務只使用安全協議，比如HTTPS和SSH，以限制攻擊者在中間人攻擊中成功獲取訪問密碼的機會。

7

Windows RCE（BlueKeep）

BlueKeep（CVE-2019-0708）是一個在2019年被發現的高危級安全漏洞，曾經廣泛影響了數百萬臺計算機設備。然而在最近的滲透測試活動中，研究人員仍然發現在很多企業中仍然會大量存在BlueKeep安全缺陷的系統。由于缺乏可用的工具和代碼，這個Windows安全缺陷會給用戶系統帶來嚴重的損害，允許攻擊者完全控制受影響的系統。

防護建議：

由于該安全缺陷經常被利用，并可能導致被濫用，因此應立即修復。修復方式很簡單，只要在受影響的系統上部署安全更新，就可以有效防范該漏洞。但是，組織應該評估現有的補丁管理流程，找到為何會遺漏相關安全更新的原因。

8

本地管理員密碼重用

在內部滲透測試期間，研究人員發現許多系統共享相同的本地管理員密碼。如果攻擊者竊取了一個本地管理員帳戶，就可以成功訪問到多個系統，這大大增加了組織內部大范圍遭到攻擊的風險。

防護建議：

使用微軟LDAPS之類的密碼管理解決方案，以確保多個系統上的本地管理員密碼不一致，并按時對密碼進行更新。

9

Windows RCE（EternalBlue）

和BlueKeep安全漏洞一樣，在滲透測試過程中，研究人員發現了大量易受EternalBlue（永恒之藍）漏洞利用攻擊的系統。這是一個在2017年被發現的漏洞，曾經影響非常廣泛，可以讓攻擊者完全控制受影響的系統。

防護建議：

在受影響的系統上部署安全更新即可。但是，組織應該評估現有的補丁管理程序，以確定未能及時進行安全更新的原因。

10

Dell EMC IDRAC 7/8 CGI注入

iDRAC是位于服務器主板上的硬件，允許系統管理員更新和管理戴爾系統，即使在服務器關閉時也是如此。iDRAC還提供了Web界面和命令行界面，使管理員可以執行遠程管理任務。幾乎所有當前的戴爾服務器都具有iDRAC選項。滲透測試人員發現，2.52.52.52之前的Dell EMC iDRAC7/iDRAC8版本易受CVE-2018-1207命令注入漏洞的影響。這允許未經身份驗證的攻擊者以root權限執行命令，從而使他們能夠完全控制iDRAC設備。

防護建議：

盡快將固件升級到最新版本。