日前,自动化网络安全渗透测试平台Vonahi Security发布了2024年度《渗透测试活动中的重大发现》报告,基于对超过1000家企业组织近万次自动化网络渗透测试活动的研究分析,研究人员总结了当前企业网络系统在渗透测试过程中最容易被利用的10大安全弱点。尽管这些弱点是由不同的安全漏洞引发,但却有许多的相似共同点。配置缺陷和补丁管理不足仍然是导致许多重大威胁隐患的主要原因。
防护建议:
防止MDNS欺骗的最有效方法是,如果MDNS未被使用,就应该将其禁用,这可以通过禁用Apple Bonjour或avahi-daemon服务来实现。
防护建议:
以下几个策略可以防止或减小NBNS欺骗攻击的影响:
• 配置UseDnsOnlyForNameResolutions注册表项,以便防止系统使用NBNS查询(NetBIOS over TCP/IP配置参数),将注册表项DWORD设置为1。
• 禁用内部网络中所有Windows主机的NetBIOS服务。这可以通过DHCP选项、网络适配器设置或注册表项来完成。
防护建议:
防止LLMNR欺骗的有效方法是配置多播名称解析注册表项,以防止系统使用LLMNR查询。
• 使用组策略:Computer ConfigurationAdministrative TemplatesNetworkDNS Client Turn off Multicast Name Resolution=Enabled(若要管理Windows 2003 DC,请使用Windows 7版远程服务器管理工具)。
• 使用只适用于Windows Vista/7/10家庭版的注册表项:HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft Windows NTDNSClient EnableMulticast。
防护建议:
如果业务不需要,应该禁用IPv6。由于禁用IPv6可能导致网络服务中断,因此强烈建议在大规模部署之前测试这项配置。如果需要使用IPv6,则应该在网络交换机上实施DHCPv6保护机制。实际上,DHCPv6保护机制确保只允许授权的DHCP服务器列表将租约(lease)分配给客户端。
防护建议:
组织应及时梳理掌握过时的Windows版本,采取针对性的防护,并在可能的情况下,尽快替换成有厂商支持的最新操作系统版本。
防护建议:
目前,针对IPMI旁路身份验证还没有针对性的补丁,建议组织执行以下一个或多个操作。
• 将IPMI访问限制于数量有限的系统上,即出于管理目的必需要访问的系统。
• 如果业务不需要IPMI服务,应立即禁用该服务。
• 将默认管理员密码改为复杂的强密码。
• 服务只使用安全协议,比如HTTPS和SSH,以限制攻击者在中间人攻击中成功获取访问密码的机会。
防护建议:
由于该安全缺陷经常被利用,并可能导致被滥用,因此应立即修复。修复方式很简单,只要在受影响的系统上部署安全更新,就可以有效防范该漏洞。但是,组织应该评估现有的补丁管理流程,找到为何会遗漏相关安全更新的原因。
防护建议:
使用微软LDAPS之类的密码管理解决方案,以确保多个系统上的本地管理员密码不一致,并按时对密码进行更新。
防护建议:
在受影响的系统上部署安全更新即可。但是,组织应该评估现有的补丁管理程序,以确定未能及时进行安全更新的原因。
防护建议:
尽快将固件升级到最新版本。
https://thehackernews.com/2024/06/top-10-critical-pentest-findings-2024.html
原文始发于微信公众号(安全牛):网络黑客们“最爱”的10大系统安全缺陷
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论