漏洞武器化评估小技巧

  • A+
所属分类:安全文章

作为安全从业者,不管是做售前、渗透测试、安全分析师、或者作恶的攻击者、等 漏洞好像是一个绕不开的话题。结合自己的一点点小经验,然后准备分享漏洞武器化评估的文章。

 


用途:可放在自己安全产品线上、或者安全报告上。


漏洞数据来源渠道:cvenvd cnnvd 、或各种产品厂商的SRC网站。主要还是来说CVE 因为CVE 漏洞数据来源:各种在野的漏洞被发现、分配了漏洞编号


作为攻击者会用什么漏洞呢:

 

标题:Blouiroet”挖矿木马复苏控制多国肉鸡电脑挖矿

链接:https://www.freebuf.com/201792.html


标题:DDG的新征程——自研P2P协议构建混合P2P网络

链接:https://www.anquanke.com/post/id/209351

 

标题:猫池挖矿事件分析

链接:https://www.freebuf.com/articles/terminal/246830.html

 

举了三个例子:都是挖矿木马和僵尸网络的,里面有漏洞利用模块的一部分。

 

对于攻击者:特定入侵、批量找脆弱目标作恶还是有差别的,我讲的是后者。



容易武器化漏洞例子

Apache Struts2 任意代码执行漏洞 :CVE-2017-5638

Weblogic XMLDecoder 反序列化漏洞:CVE-2017-10271

Windows SMB 远程代码执行漏洞:ms17-010



作为安全从业者,比如用漏洞扫描器输出到了漏洞报告,或者端口探测到目标产品版本。该怎么找容易被武器化的漏洞编号,再通过编号找POC呢。当然用CVSS漏洞危害的评判的标准。


例子:(CVE-2017-10271


回显结果:可对比一下容易武器化漏洞的特征

 

 

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈,并且一组可能的攻击者扩展到下面列出的其他选项之外,直到并包括整个Internet。这种漏洞通常被称为远程可利用,可以被认为是一种攻击,在协议级别的一个或多个网络跳离(例如,跨越一个或多个路由器)时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)

 

2.攻击复杂性AC:(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。

 

3.所需特权PR:(N)攻击者在攻击之前是未经授权的,因此不需要访问易受攻击系统的设置或文件来进行攻击。

 

4.用户交互UI:(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。

 

5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下,易受伤害组件和受影响组件要么是相同的,要么都由相同的安全权限管理。

 

6.保密C:无(L)在受影响的组件内不会丢失机密性。

 

7.完整性I:(N)受影响组件内没有完整性损失。

 

8.可用性A:(H)存在完全的可用性损失,导致攻击者能够完全拒绝访问受影响组件中的资源;这种损失要么是持续的(而攻击者继续交付攻击),要么是持续的(即使在攻击完成后,条件仍然存在)。或者,攻击者有能力拒绝某些可用性,但可用性的丧失给受影响的组件带来了直接的、严重的后果(例如,攻击者不能破坏现有的连接,但可以防止新的连接;攻击者可以反复利用一个漏洞,在每次成功攻击的情况下,该漏洞只泄漏少量内存,但经过反复攻击后,服务将完全不可用)。

 

回显数据:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞评分:7.5

危险等级:High


小工具下载地址:https://mianbaoduo.com/o/bread/mbd-aZabmZ0=


attackerkb(漏洞情报平台)

 

网络安全公司 Rapid7 现推出一款新型的网络服务 AttackerKB。它是一个 web 门户,旨在通过众筹漏洞武器化评估的方式帮助企业理解并决定漏洞修复的优先级。

 

关于AttackerKB

 

当一个新漏洞促使在Twitter上进行讨论或访问媒体时,安全团队可能很难通过所有宣传来确定风险和优先级。

 

漏洞有多普遍?预期的保质期是否足够长,值得进行开发?丢弃或修补所有内容是否值得?对手或威胁参与者是否有利用机会的愿望或动机?还是实际上……没有用或有趣?

 

安全研究人员和黑客几乎总是最先了解特定条件和特征,这些特定条件和特征使漏洞不仅可以被利用,而且实际上对攻击者有用。AttackerKB旨在为整个安全社区捕获,突出和扩展该知识。



可以在漏洞编号下面自定义评估提交:方法模型主要是cvss ATT&ck,提供API服务可以嵌入到别的安全产品中。


直接白嫖看别人评估过的漏洞编号内容


官网:https://attackerkb.com/


attackerkb 口号:并非所有外伤都一样。并不是所有rule都是authon创建。

本文始发于微信公众号(漏洞感知):漏洞武器化评估小技巧

发表评论