• <nav id="5jebs"></nav>
    <button id="5jebs"></button>

      2.  
        2. 
    
           
          
        • 智安全
        • 信服云
        • 信創適配
        • 行業
        • 試用中心
        • 技術與服務
        • 合作伙伴
        • 產業教育
        • 更多
         
         
         
         
         
         
        中文
            
         
         
         
           
              
           
           
           
          搜索
           
          搜索
           
           
           
           
           
           
           
           
           
          中文
                      
           
           
           
           
          新聞中心
           
           新聞中心??>??實戰出擊:Web服務器打了補丁依然被突破,他們如何防?
           
          實戰出擊:Web服務器打了補丁依然被突破,他們如何防?
           
          背景圖 2023-09-03 11:56:28
           
           
           
          

          

          “收到告警,信息中心DMZ區Web服務器被突破!”
          

          “報告,攻擊者是利用了Weblogic T3協議反序列化漏洞進來的。”
          

          “這是在去年攻防演練就公開過的漏洞,我們也在去年就打上了官方補丁,但目前從攻擊者路徑看來,補丁是無效的。”
          

          

           
          

          對話發生在某航空企業網絡安全部門內。去年,該航空企業正是因為該漏洞丟了不少分,今年漏洞再次被利用,難道又要老戲重演?
          

          所幸的是,今年攻防演練之前,他們就做好了十足準備,在主機上安裝了深信服aES主機安全軟件,不僅成功檢測到了威脅,也幫助企業獲得了大量的溯源得分。
          

          經過這一戰,aES主機安全軟件的兜底效果獲得了該航空企業的高度認可,但網絡安全部門負責人心里還存在著很多不解:為什么漏洞打了補丁還可以被利用?實戰中還存在著多少這樣的“意外情況”?aES怎么來做兜底的呢?在后續的匯報中,他得到了相應的解答。
          

          

           
          

          

          實戰回顧1
          

          

          

          組件版本停止維護,補丁未100%覆蓋
          

          

          去年與今年,Weblogic T3協議反序列化漏洞被重復利用。去年網絡安全部門嘗試禁用T3協議,最終因為影響業務而不得不恢復T3協議,轉而打官方補丁。
          

          而在今年的攻防演練中,經過深信服安全專家分析后,給他們提供了該漏洞的具體信息:
          

          ● 漏洞利用前提:T3/IIOP協議對外開放,jdk版本在1.7.21以下
          

          ● 該航空企業web服務器環境:WebLogic 10.3.6.0 + 2022年一月份補丁
          

          Weblogic T3協議反序列化漏洞
          

          

          

          而從2022年開始,Oracle已經不再維護WebLogic 10.3.6.0及以下的版本。
          

          

          

          Oracle已經不再維護WebLogic 10.3.6.0及以下的版本
          

          官方的建議組合是使用JDK配合weblogic 12/14系列組件版本。
          

          原來,這一次該航空企業所打的補丁疑似未覆蓋到組件使用的小版本,而在該企業嘗試下載該組件特定的補丁版本,發現該組件版已經停止維護。
          

          經過分析后,網絡安全部門負責人也意識到,這樣的“意外情況”在實戰中其實屢見不鮮,原因有二:
          

          ● 組件小版本眾多,對使用者而言,很難看到某個組件小版本的風險情況,是否停更等
          

          ● 針對某一類型的web攻擊,通過打補丁的方式無法100%覆蓋到眾多組件版本
          

           
          

          

          

          實戰回顧2
          

          

          

          aES主機安全應用防護RASP,精準溯源攻擊行為
          

          

          為什么本次攻防演練能夠成功防住該漏洞利用,且能舉證詳細的原因?我們一起來看看整體過程:
          

          攻防演練能夠成功防住該漏洞利用
          

          

          

          首先,深信服態勢感知上捕獲到針對該web服務器的weblogic T3漏洞利用以及Java內存馬注入流量告警,但只能看到是內網的負載均衡向服務器發起攻擊,此時如果想要從防火墻和態勢感知流量日志中溯源攻擊者IP無異于大海撈針。
          

          其次,由于在主機上安裝了aES主機安全,在高級威脅IOA模塊中成功檢測到探測環境信息的命令,結合態勢感知告警,可以確認攻擊者反序列化漏洞利用成功。
          

          

          

          確認攻擊者反序列化漏洞利用成功
          

          在aES主機安全的應用防護RASP模塊,對攻擊行為進行了精準溯源
          

          

          

          

          

          RASP檢測到Java反序列化漏洞利用鏈上的具體JNI行為
          

          RASP檢測到Java反序列化漏洞利用鏈上的具體JNI行為
          

          

          

          

          RASP檢測到Filter類型內存馬注入
          

          RASP檢測到Filter類型內存馬注入
          

           
          

          

          通過更詳細的告警信息確認攻擊者注入Java內存馬,企圖實現持久化的攻擊行為,且可以看出試圖注入Filter類型內存馬,與流量解密的結果一致。
          

          

          

          

          RASP通過XFF溯源到攻擊者IP信息
          

          RASP通過XFF溯源到攻擊者IP信息
          

          

          在告警信息的Header中可以查看惡意流量的數據包頭信息,在X-Forwarded-For字段中可以溯源到攻擊者的IP:124.64.23.61。
          

           
          

          

          

          實戰回顧3
          

          

          

          構建Web主機防護兜底機制,防御未知威脅
          

          從上面的攻擊演練實戰案例中可以看到,攻擊者的payload繞過友商傳統防火墻、WAF等設備,利用反序列化遠程執行命令成功,并試圖注入內存馬實現持久化,而這類手法已經常態化、平民化。
          

          

          因此深信服認為,在主機側做好應用能力兜底,并與WAF形成充分合力,是構建Web服務器安全能力、防御未知威脅的最佳實踐。
          

          

          

           
          

          1、構建主機兜底防線
          

          

          

          針對網絡側WAF繞過、東西向流量防護缺失的問題,在主機上建立應用安全最后一道防線,基于應用內部完整運行情況獲取最完整的上下文信息,對應用層的攻擊做出有效的檢測與阻斷。
          

          

          

          2、網端合力,共同生長
          

          

          

          ● WAF:攔截大量已知特征的Web攻擊、由工具觸發的大批量嗅探攻擊。而此類大流量如果在應用內部通過RASP進行檢測響應會消耗大量的應用資源。
          

          ● RASP:作為安全最后防線,在主機應用上構建少量穿透WAF的已知、未知攻擊手法的防范能力,同時補充東西向防護能力。最后基于RASP的研判舉證信息反向調優WAF策略,降低WAF被繞過概率,實現能力共生長。
          

          網端合力,共同生長
          

          

          深信服aES主機安全的RASP防護,基于代碼運行環境識別應用上下文來增強應用自己健壯性,并不依賴具體的組件版本情況。同時深信服aES的RASP模塊具備以下優勢:
          

          

          

          深信服aES的RASP模塊
          

          深信服端點安全重大升級
          

          融合專業主機安全能力
          

          

          經過多年企業級網絡安全建設和攻防演練經驗積累,基于過去主機安全產品CWPP和終端安全產品EDR、容器安全產品的能力,深信服進行了創新性升級,統一融合端點安全能力,推出AI驅動的下一代端點安全aES,針對主機的安全提供AI學習和理解業務能力,持續構建帶有免疫加固能力的智能防御體系。
          

          基于多年的沉淀和積累,并致力于讓用戶的安全領先一步,深信服敏銳地捕捉到了用戶對主機安全的需求與顧慮,端點安全融合專業主機安全能力,迎來全面、重磅的升級,敬請期待!
          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

           
           
          
              上一篇:
              
                城市軌道交通信息技術應用創新專題高研班圓滿結束
              
           
           
          相關新聞
            查看更多新聞
          相關資料
            
          相關案例
            
           
           
           
           
            關于我們
             
          • 掃碼獲取一對一服務
             企業微信二維碼-官網
            •  
          • 關注我們
             
           
          智安全
          信服云
          資源中心
          如何購買
          售后支持
          公司
           
             
           
          熱門解決方案:
           
          DeepSeek承載創新方案
          云網端安全方案
          VMware替代方案
          一體化辦公安全方案
          友情鏈接:
           
          信銳技術
          口袋助理
          托管云官網
           
          ? 2025 深信服科技股份有限公司版權所有 
          粵ICP備08126214號 
          粵公網安備44030502002384號 
          合字B1.B2-20220041 
           
           
           
            
           
           
          
  
久久在精品线影院,久久视频这里只精品亚洲,99欧美精品含羞草,欧洲精品性爽视频