从波音公司、工商银行遭勒索攻击，浅析漏洞管理的重要性

2023年10月10日，安全研究人员发现并披露 Citrix Bleed CVE-2023-4966漏洞，该漏洞的CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）评分为9.4，被认为是高度严重的漏洞。该漏洞会影响Citrix NetScaler ADC和网关，攻击者可非法访问敏感设备信息。

Lockbit勒索软件组织利用Citrix Bleed漏洞连环攻击了包括波音、工行、DP World等大型企业，给全球金融、货运和关键基础设施运营带来巨大威胁和损失，但一切只是刚刚开始。根据研究人员的最新调查，全球仍有超过1万台存在CitrixBleed漏洞(CVE-2023-4966)的服务器暴露在互联网上（如图1），成为勒索软件组织的热门攻击目标，同时也意味着类似工行、波音的重大勒索软件攻击事件将持续上演。

图1 易受攻击的Citrix服务器数量

随着信息技术的快速发展，网络安全问题日益凸显。漏洞扫描作为网络安全防护的重要一环，能够帮助组织识别和修复网络系统中的潜在威胁，保障系统安全。本文将详细介绍漏洞扫描的相关概念、技术原理等信息。

1.漏洞的概述

漏洞是最为常见的黑客攻击手段之一，也是目前企业最基础最重要的防御目标。

从各种关于漏洞的定义中可以得到漏洞的一系列共性描述：系统的缺陷/弱点、可能导致系统的安全性被破坏。 漏洞会涉及管理、物理、技术多种类型，我们说的漏洞一般默认是指技术型的漏洞。

而漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此漏洞扫描成为安全方案的一个重要组成部分。

2.漏洞扫描技术的发展与迭代

漏洞扫描技术的出现迄今为止已经有20年，从早期完全依靠人工挖洞，到开源漏扫工具的出现，再到商业漏扫平台，漏洞扫描技术的发展也随着环境、业务的变化而不断变化，对于漏洞扫描的目标、场景甚至对象都产生了变化。漏洞扫描的技术共经历了以下四个重要阶段：

手动扫描时代：早期的漏洞扫描是通过手动分析和测试系统来发现潜在的漏洞。这种方式非常耗时且容易出错，适用于小规模和简单的系统。   

自动化脚本时代：为了提高效率，人们开始使用自动化脚本来辅助进行漏洞扫描。这些脚本可以自动执行一系列测试，帮助发现系统中的漏洞。但是，脚本的编写和维护需要专业知识并且有一定的局限性。

网络漏洞扫描时代：随着网络的发展，出现了专门的漏洞扫描工具。这些工具可以自动扫描整个网络，发现潜在的漏洞并生成报告。它们通常具备易用性和可配置性，可以有效地加快漏洞发现的速度。

新技术场景扫描时代：云和AI兴起，云平台提供高度自动化和可扩展的漏洞扫描解决方案，可以在云上进行大规模的、持续的漏洞扫描。用户可以通过简单的设置和配置，即可获得全面的漏洞报告和建议。

3.漏洞扫描工具的架构及技术原理

3.1

漏洞扫描工具的架构

目前安全产品主要有反病毒、防火墙、商用密码、CA系统以及入侵检测与漏洞扫描。其中反病毒、防火墙和入侵检测这三类与网络攻击相关的产品都是属于被动防御的范畴，而漏洞扫描产品则属于主动防御。它能够在可能的黑客攻击发生之前找出系统存在的漏洞，并提醒系统管理员将其修补。

市面上常见的漏洞扫描工具在架构上大都分为四个模块：

(1)用户接口：用户通过这个接口配置和运行一个扫描任务。这可以是图形化界面（GUI）也可以是命令行接口（CLI）。

(2)扫描引擎：扫描引擎通过安装和配置的插件来执行扫描任务。

(3)数据库：数据库保存了扫描工具需要的数据。包括：漏洞信息、插件、消除漏洞的方法、CVE-ID映射（常见的漏洞）、扫描结果等等。   

(4)报告模块：报告模块可以生成不同格式的报告。报告内容包含漏洞列表、漏洞分布、安全结论、参考标准等等。

漏洞扫描任务可以分为两类：

(1)外网扫描：有一些设备和资产是暴露在互联网的。大部分的机构都开放了80或者443端口，这样可以通过互联网访问他们的网站。许多管理员觉得他们设置了边界防火墙，这样他们就很安全了。但是，并不总是这样的，防火墙可以依据定义的规则和策略阻止对网络的非授权访问，如果攻击者找到了通过开放端口（比如80或者443）攻击系统的方法，防火墙就不能保护你了，因为利用这些端口，攻击者就自动绕过了防火墙进入了网络。

(2)内网扫描：并不是所有的攻击都来自外部网络，黑客和恶意软件也可以在内网中出现。一个可以访问内网的员工，无意将恶意软件或者病毒下载到网络中，那么外部的黑客就获取了访问内部网络的权限。因此，在内网里运行漏洞扫描工具也同样重要。

外网扫描和内网扫描结合，可以对网络中的关键组件进行扫描，最大程度的保证用户在攻击者利用已公开的安全问题和漏洞之前，就消除它们。 

3.2

漏洞扫描技术原理

漏洞扫描技术，是基于网络的、探测目标网络或设备信息的技术，其原理是依靠TCP/IP探测，发现目标网络或设备的配置文件、端口的分配、所开放的网络服务类型、服务器的操作系统等各类有用信息，继而通过模拟黑客的攻击手段，对系统可能存在的漏洞进行一一检测，最终确定系统存在的安全漏洞，提供给网络管理员。

漏洞扫描技术经过几十年的不断发展已经比较成熟，对其的分类也主要有两种方式，一是根据其工作过程，二是根据其工作原理。

图2 漏洞扫描技术原理图

根据工作过程，可以分为确定目标存活技术，目标信息收集技术、目标漏洞扫描技术三个部分。

(1)确定目标存活：主要利用ping扫描，通过向目标系统发送各种TCP、UDP报文，根据目标是否返回报文和返回的报文内容从而确定目标系统是否在线，其主要包括ICMP广播、ICMP扫射、ICMP非回显、TCP和UDP扫射；

(2)目标信息收集：在确定目标系统在线的前提下，通过端口扫描 、操作系统判别和系统服务识别来确定目标系统所开放的端口，所运行的操作 系统和所提供的系统服务，其主要包括全（半）连接扫描、秘密扫描、欺骗扫描、主被动协议栈识别和旗标获取等等；

(3)目标漏洞扫描：根据掌握的目标信息对目标系统进行有选择的漏洞探测，选择的依据主要基于漏洞数据库和漏洞扫描插件。

根据工作原理，可分为基于主机的扫描和基于网络的扫描技术。

(1)基于主机的扫描，一般在主机上安装代理软件，针对主机的操作系统进行扫描检测，涉及系统内核、文件属性、系统补丁，也包括弱口令分析等。主要采用客户/服务端架构；

(2)基于网络的扫描，是通过网络对远程目标进行漏洞探测，主要是基于漏洞特征库构造数据包发送给目标系统，或者通过插件对目标系统进行扫描，确定对方是否存在相应的漏洞。

4.漏洞扫描的必要性

据CNNVD发布的《2022年度网络安全漏洞态势报告》表示，2022年新增漏洞近2万5千个，达到历史新高，并保持连年增长态势。以下列举几个2022年漏洞利用事件，如下图所示。   

等保2.0将风险评估和管理作为关键环节，要求组织对系统进行全面的风险评估，准确识别威胁和漏洞，并制定相应的风险管理策略和控制措施。这有助于组织更好地理解和管理信息系统中的风险，并采取相应措施进行控制和防范。

抛开法律法规的合规要求，就防范网络攻击而言，漏洞扫描、修复等漏洞管理动作，是最直接有效的方法，网络安全无小事，每一起网络安全事件都会造成非常严重的损失和后果，漏洞的扫描发现及利用防范是当务之急。

漏洞与信息化进程相伴而生，为加强网络安全防护、避免漏洞所引发的威胁，漏洞管理成为重要IT策略。提前对漏洞的管控和综合治理、在预警与感知等方面提供对策，及时查“漏”补缺，防微杜渐，禁于未然，可以极大程度避免企业遭受漏洞利用的风险。

5.威努特漏扫实现漏洞全流程管理

威努特漏洞扫描系统遵循“漏洞生命周期”原理，把漏洞管理的循环过程划分为漏洞预警、漏洞扫描、漏洞修复、漏洞审计。在不影响网络正常工作的情况下，精准检测网络中存在的各类脆弱性风险，并给出专业性的建议。帮助用户减少运维成本，提高系统安全性。   

漏洞预警：超前提醒，提前防御

在漏洞层出不穷的今天,快速检出公网爆出的漏洞以及监管单位通报的漏洞也是我国漏洞管理的另一强需求。在最新的风险漏洞信息公布之际，威努特漏扫产品团队第一时间提供产品漏洞库升级包，并支持“一键检测+升级”漏洞库，保证漏洞知识库的完备性。

漏洞扫描：完备知识库，0时差响应

威努特漏洞扫描系统漏洞知识库的检测脚本260000+条，漏洞相关信息支持全中文。采用流式数据输出模式，在漏洞被扫描出来的第一时间显示给用户，解决了传统漏扫工具在扫描完成之前不可查看结果的弊端。切实帮助企业先于攻击者发现内部所有可能暴露的攻击面，提升了检测的准确性。   

漏洞修复：强操作性方案，漏洞快速处置

威努特漏洞扫描系统提供了操作性很强的漏洞修复方案，包括系统的安全配置建议和补丁的有效下载链接等，修复建议直白易懂，还提供了二次开发接口给第三方安全产品进行联动，方便用户及时、高效地对漏洞进行修复。

漏洞审计：全方位审计，提供高参考性报表

威努特漏洞扫描系统将扫描结果通过报表呈现给用户，支持各类格式输出，并提供漏洞分级、相应加固建议方案内容。提供定性的趋势分析、定量的风险分析，更加直观地了解当前网络安全状况。

威努特漏洞扫描系统涵盖资产管理、风险管理、系统扫描、web扫描、基线配置核查、移动应用扫描、镜像漏洞扫描、报表管理、辅助工具、日志管理、系统管理等模块，能够全面、精准地检测信息系统中存在的各种脆弱性问题，包括安全漏洞、安全配置问题等，在信息系统受到危害之前为用户提供专业、有效的漏洞分析和修补建议。

威努特漏洞扫描系统适用于政府、金融、能源、交通等行业，帮助用户解决目前所面临的各类常见及最新的安全风险，同时满足等级保护、行业规范等政策法规的安全建设要求。

原文始发于微信公众号（威努特工控安全）：从波音公司、工商银行遭勒索攻击，浅析漏洞管理的重要性