确保企业系统安全：2024年值得关注的10大系统安全缺陷

渗透测试，也称为五项测试，是信息技术（IT）专业人员抢在网络攻击者之前发现公司弱点的最有效方法之一。渗透测试通过模拟真实世界的网络攻击，可为企业的安全态势提供了宝贵的洞察力，并可揭示可能导致数据泄露或其他安全事件的薄弱环节。自动网络渗透测试平台Vonahi Security通过进行10,000 多次自动网络渗透测试，分析了1,200 多家企业的十大内部渗透测试发现，于近日发布了《2024 年十大关键渗透测试结果》，揭示了2024年值得关注的10大系统安全缺陷。为了确保企业系统安全，接下来，我们将深入探讨这10大系统安全缺陷，以便更好地了解企业面临的常见可利用漏洞以及如何有效解决这些问题。

1、MDNS欺骗

MDNS（Multicast DNS）是一种在小型网络中使用的协议，用于在没有本地 DNS 服务器的情况下解析 DNS 名称。它向本地子网发送查询，允许任何系统以请求的 IP 地址作出响应。攻击者可以利用这一点，用自己系统的 IP 地址作出响应。

防护建议：

防止MDNS欺骗的最有效方法是在不使用 mDNS 的情况下将其完全禁用。根据实施情况，可以通过禁用Apple Bonjour 或 avahi-daemon 服务来实现这一点。

2、NBNS欺骗

NBNS（NetBIOS Name Service，NetBIOS名称服务）是内部网络中使用的一种协议，用于在 DNS 服务器不可用时解析 DNS 名称。它在网络上广播查询，任何系统都可以用请求的 IP 地址作出回应。攻击者可利用这一点，用自己系统的 IP 地址作出回应。

防护建议：

以下是在 Windows 环境中防止使用 NBNS 或减少 NBNS 欺骗攻击影响的一些策略：

• 配置 UseDnsOnlyForNameResolutions 注册表键值，以防止系统使用 NBNS 查询（NetBIOS over TCP/IP 配置参数）。
• 将注册表 DWORD 设置为禁用内部网络中所有 Windows 主机的 NetBIOS 服务。这可以通过 DHCP 选项、网络适配器设置或注册表键值来实现。

3、LLMNR欺骗

LLMNR（Link-Local Multicast Name Resolution，链路本地组播名称解析）是内部网络中使用的一种协议，用于在 DNS 服务器不可用时解析 DNS 名称。它在网络上广播查询，允许任何系统响应请求的 IP 地址。攻击者可利用这一点，用自己系统的 IP 地址作出回应。

防护建议：

防止利用的最有效方法是配置多播名称解析注册表键，以防止系统使用 LLMNR 查询。

• 使用组策略：Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution = Enabled（要管理 Windows 2003 DC，请使用 Windows 7 的远程服务器管理工具）
• 仅使用 Windows Vista/7/10 家庭版的注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient \EnableMulticast

4、 IPV6 DNS 欺骗

当网络上部署了恶意 DHCPv6 服务器时，就会发生 IPv6 DNS 欺骗。由于 Windows 系统更喜欢使用 IPv6 而不是 IPv4，启用了 IPv6 的客户端会使用可用的 DHCPv6 服务器。在攻击过程中，IPv6 DNS 服务器会被分配给这些客户端，而客户端则保留其 IPv4 配置。这样，攻击者就可以通过重新配置客户端，将攻击者的系统用作 DNS 服务器，从而拦截 DNS 请求。

防护建议：

• 禁用 IPv6，除非业务运营需要它。由于禁用 IPv6 有可能导致网络服务中断，因此强烈建议在大规模部署前对该配置进行测试。
• 另一种解决方案是在网络交换机上实施 DHCPv6 防护。从本质上讲，DHCPv6 防护可确保只有授权的 DHCP 服务器列表才允许向客户分配租约。

5、过时的微软视窗系统

过时的微软视窗系统由于不再接收安全更新，很容易受到攻击。这使它很容易成为攻击者的目标，攻击者可以利用它的弱点，并有可能转移到网络中的其他系统和资源。

防护建议：

用制造商支持的最新操作系统替换过时的 Microsoft Windows 版本。

6、IPMI 身份验证绕过

智能平台管理界面（IPMI）允许管理员集中管理服务器。然而，某些服务器存在漏洞，攻击者可绕过身份验证并提取密码哈希值。如果密码是默认的或较弱的，攻击者就可以获取明文密码并进行远程访问。

防护建议

由于此特定漏洞没有可用的修补程序，建议执行以下一项或多项操作：

• 限制 IPMI 对少数系统的访问权限—这些系统需要为管理目的进行访问。
• 如果业务操作不需要 IPMI 服务，则禁用 IPMI 服务。
• 将默认管理员密码更改为强大而复杂的密码。
• 在服务上只使用安全协议，如 HTTPS 和 SSH，以限制攻击者在中间人攻击中成功获取密码的机会。

7、微软视窗 RCE（BlueKeep）

在测试过程中发现了易受 CVE-2019-0708 (BlueKeep) 影响的系统。由于存在可用的工具和代码，这个 Microsoft Windows 漏洞极易被利用，攻击者可以完全控制受影响的系统。

防护建议：

建议在受影响的系统上应用安全更新。此外，企业应评估其修补程序管理计划，以确定缺乏安全更新的原因。由于该漏洞是一个常被利用的漏洞，可能导致大量访问，因此应立即采取补救措施。

8、本地管理员密码重复使用

在内部渗透测试中，发现许多系统共用同一个本地管理员密码。破坏一个本地管理员账户就能访问多个系统，这大大增加了组织内部大范围破坏的风险。

防护建议：

使用 Microsoft 本地管理员密码解决方案 (LDAPS) 等解决方案，确保多个系统的本地管理员密码不一致。

9、微软视窗 RCE (EternalBlue)

在测试过程中发现受 MS17-010 (EternalBlue) 影响的系统。由于存在可用的工具和代码，此 Windows 漏洞极易被利用，允许攻击者完全控制受影响的系统。

防护建议：

建议在受影响的系统上应用安全更新。此外，企业应评估其补丁管理程序，以确定缺乏安全更新的原因。由于该漏洞是一个常被利用的漏洞，可能导致大量访问，因此应立即采取补救措施。

10、Dell EMC IDRAC 7/8 CGI 注入 (CVE-2018-1207)

Dell EMC iDRAC7/iDRAC8 2.52.52.52 之前的版本易受 CVE-2018-1207 的攻击，这是一个命令注入问题。这允许未经身份验证的攻击者以 root 权限执行命令，从而完全控制 iDRAC 设备。

防护建议：

将固件升级到可能的最新版本。

总结

综合了解2024年值得关注的10大系统安全缺陷，我们不难发现一些共同点，那就是企业系统易受攻击的根本原因仍然是配置薄弱和补丁缺陷。由此，企业系统除了采取相应的安全防护措施之外，还需要及时更新软件，打好补丁，并加强相关配置，才能有助于确保企业系统安全。

资料参考来源：Vonahi Security、thehackernews