IT团队忽视的10个关键网络渗透测试发现

在去年进行了超过10,000次自动化内部网络渗透测试后，发现了一个令人不安的现实：许多企业仍然存在攻击者容易利用的严重安全漏洞。

组织通常认为防火墙、端点保护和SIEM足以保证其安全。但是，这些防御措施在测试中效果如何？这就需要渗透测试验证，在模拟真实的攻击场景，可帮助组织在网络犯罪分子之前发现可利用的漏洞。

这些并不是复杂的零日漏洞。它们是错误配置、弱密码和未修补的漏洞，攻击者经常利用这些漏洞来获取访问权限、横向移动和提升网络内的权限。这些风险的分类如下：

·50%源于错误配置——默认设置、薄弱的访问控制和被忽视的安全策略。

·30%是由于缺少补丁–未打补丁的系统为已知漏洞留下了可乘之机。

·20%涉及弱密码–服务运行时没有适当的身份验证，这使得攻击者很容易入侵。

在本文中，介绍了十大最关键的内部网络安全风险，分析它们是什么、为什么它们很危险以及如何在它们变成真正的问题之前解决它们。我们将从最不常见的问题开始，逐步讨论评估中发现的头号问题。如果环境中存在这些弱点，攻击者就会找到它们——这只是时间问题。

10.密码不足-Redis服务#

CVSS3：9.9

发生率：1.3%

它是什么：

·Redis是一种内存键值数据存储，常用于缓存、消息代理和实时分析。默认情况下，Redis不强制执行身份验证，允许客户端无需凭据即可连接。

安全影响：

·如果攻击者获得Redis服务的访问权限，他们可能会获取存储在服务器上的数据库中的敏感数据，并可能提升权限以获得系统级访问权限，具体取决于Redis服务的功能以及与受感染用户帐户相关的权限。这可能导致未经授权的数据操纵、数据泄露或进一步利用系统。

推荐：

·必须将Redis服务配置为要求使用符合组织密码策略的强密码。强密码应包含以下标准：

·至少12个字符

·不容易猜到，例如在字典里找不到

·大写字母、小写字母、数字和/或特殊字符的组合

·可通过已知的泄露密码数据库进行验证。

·此外，使用密码管理器可以生成难以检索的复杂密码，从而增强安全性，即使在通过违规获取密码哈希值的情况下也是如此。

9.Firebird服务器接受默认凭证#

CVSS3：9.0

发生率：1.4%

它是什么：

·默认凭证通常是用于初始设置的硬编码用户名和密码，应及时更改以保证安全。当系统部署时未重新配置或设置过程中忽略了默认设置时，就会出现此问题。

安全影响：

·依赖Firebird服务器的默认凭据可能导致未经授权的访问，从而使攻击者能够对受影响的系统进行身份验证和侦察。他们可以枚举文件或更改系统配置，从而为进一步利用漏洞打开通道。如果攻击者确定了Firebird数据库文件的位置，他们可能会获得读取或修改敏感数据库信息的能力。此外，某些版本的Firebird可以被操纵以执行系统命令，从而扩大攻击者对远程主机的控制范围。

推荐：

·为了缓解此漏洞，必须使用GSEC工具更改与Firebird服务器关联的默认凭据。此外，实施定期凭据审核策略并确保在部署之前修改所有默认设置可以进一步增强安全性。持续监控服务器访问日志以查找未经授权的尝试并对可疑活动启用警报将有助于及早发现潜在的漏洞。

8.Microsoft Windows RCE（BlueKeep）#

CVSS3：9.8

发生率：4.4%

它是什么：

·BlueKeep是Microsoft远程桌面协议(RDP)中的远程代码执行漏洞，编号为CVE-2019-0708。

安全影响：

·利用BlueKeep漏洞，攻击者可以完全控制受影响的系统。这种访问级别可能有助于在组织的基础设施内发起进一步攻击，包括可能提取密码和密码哈希等敏感数据。此外，攻击者还可以在网络中横向导航，从而危害其他系统和服务。漏洞的性质意味着执行攻击不需要特殊权限或经过身份验证的访问权限，从而简化了攻击者的流程并放大了对组织的潜在影响。

推荐：

·及时将所有相关安全更新应用于受影响的系统以缓解BlueKeep漏洞至关重要。组织应彻底审查其补丁管理流程，以确定导致未及时更新的因素。鉴于此漏洞的可利用性及其严重危害系统的能力，立即响应对于保护组织的数字环境至关重要。

7.微软Windows RCE（永恒之蓝）#

CVSS3：9.8

发生率：4.5%

它是什么：

·EternalBlue是Microsoft服务器消息块(SMBv1)协议中的一个远程代码执行漏洞。该漏洞允许攻击者向存在漏洞的系统发送特制的数据包，从而实现未经授权的访问并以系统级权限执行任意代码。

安全影响：

·利用EternalBlue漏洞，攻击者可以获得受影响系统的完全管理访问权限。此访问权限可促进组织网络内的进一步恶意行为，包括提取明文密码和密码哈希，以及横向移动到其他系统。重要的是，此漏洞不需要攻击者提升受感染系统的权限，这意味着他们可以不费吹灰之力发起侦察和进一步攻击。

推荐：

·为了减轻与EternalBlue漏洞相关的风险，必须及时将相关安全补丁应用于所有受影响的系统。此外，还应彻底审查组织的补丁管理程序，以确定导致这些系统处于未修补状态的任何缺陷。鉴于此漏洞的高风险和普遍性，立即采取补救措施至关重要。

6. IPMI身份验证绕过#

CVSS3：10.0

发生率：15.7%

它是什么：

·智能平台管理接口(IPMI)是网络管理员用于集中管理服务器的关键硬件解决方案。在配置配备IPMI的服务器时，可能存在某些漏洞，允许攻击者远程绕过身份验证机制。这会导致提取密码哈希，并且在使用默认或弱哈希算法的情况下，攻击者可能会恢复明文密码。

安全影响：

·提取明文密码的能力会带来重大的安全风险，因为攻击者可以利用此信息未经授权远程访问敏感服务，包括安全外壳(SSH)、Telnet或基于Web的界面。此类未经授权的访问可能导致配置被操纵，从而对受感染服务器提供的服务的可用性和完整性产生负面影响。

推荐：

·由于此漏洞尚未得到修补，因此必须实施以下一种或多种缓解策略：

·将IPMI访问严格限制于需要管理功能的授权系统。

·在业务运营不需要IPMI服务的服务器上禁用该服务。

·将默认管理员密码更改为强大且复杂的密码以增强安全性。

·采用安全通信协议，例如HTTPS和SSH，以降低可能暴露敏感凭证的中间人攻击的风险。

5.过时的Microsoft Windows系统#

CVSS3：9.8

发生率：24.9%

它是什么：

·过时的Microsoft Windows系统存在重大安全风险，因为它们不再从Microsoft接收关键更新。这些系统可能缺少解决已知漏洞的重要安全补丁，这实际上使它们更容易受到攻击者的攻击。此外，缺乏更新可能会导致与现代安全工具和软件的兼容性问题，从而进一步削弱系统的防御能力。过时系统上的漏洞通常可用于攻击，例如恶意软件分发、数据泄露和未经授权的访问。

安全影响：

·如果被利用，过时的Microsoft Windows系统可能会让攻击者未经授权访问受影响的系统，从而泄露敏感数据和资源。此外，由于同一网络内的系统配置可能相似，攻击者可能会利用受感染的系统作为横向移动的起点，从而危害其他系统并增加入侵的总体范围。

推荐：

·强烈建议使用制造商仍支持的当前操作系统替换旧版本的Microsoft Windows。这应包括对所有系统进行全面清点，以识别和优先处理旧版本，然后实施分阶段升级策略。定期验证所有系统是否都收到最新更新和补丁，以保持安全完整性。

4. IPv6 DNS欺骗#

CVSS3：10.0

发生率：49.9%

它是什么：

·IPv6 DNS欺骗的风险源于内部网络基础设施中可能引入恶意DHCP v6服务器。由于Microsoft Windows系统更倾向于使用IP v6而不是IPv4，因此支持IPv6的客户端倾向于从任何可用的DHCP v6服务器获取其IP地址配置。

安全影响：

·部署恶意DHCPv6服务器后，攻击者可以通过重定向启用IPv6的客户端来利用攻击者的系统作为其DNS服务器，从而操纵DNS请求。此功能可能导致严重后果，例如未经授权获取敏感数据（包括用户凭据）。当所有DNS查询都解析到攻击者的服务器时，受害者的系统可能会无意中与攻击者基础设施上运行的恶意服务进行通信，包括SMB、HTTP、RDP和MSSQL等平台。

推荐：

·为了减轻与IPv6 DNS欺骗相关的风险，建议采取以下策略，重点是将每种方法与组织运营相结合并在实施前进行彻底的测试：

·在网络层管理恶意DHCP：在网络交换机和防火墙上实施恶意DHCP检测、DHCP侦听和DHCP身份验证等功能，以控制未经授权的DHCP服务器并降低DNS欺骗攻击的可能性。

·优先使用IPv4而非IPv6：利用组策略对象(GPO)或组策略首选项(GPP)部署注册表修改，将Windows系统配置为优先使用IPv4而非IPv6。需要注意的是，这种方法无法阻止攻击影响非Windows设备。

·禁用IPv6：虽然通常不建议在Microsoft Windows系统上使用，但禁用IPv6可被视为最后的预防措施，前提是经过彻底的测试确保不会对业务运营造成重大干扰。

3.链路本地多播名称解析(LLMNR)欺骗#

CVSS3：9.8

发生率：65.5%

它是什么：

·链路本地多播名称解析(LLMNR)是一种协议，用于在传统域名系统(DNS)服务不可用或无效时在内部网络环境中进行名称解析。LLMNR充当后备机制，通过多播查询促进DNS名称的解析。解析过程如下：

1. 系统首先查询其本地主机文件，以查找指定DNS名称对应的IP地址。
2. 如果不存在本地条目，系统将启动针对其配置的DNS服务器的DNS查询来解析名称。
3. 如果DNS服务器无法提供解析，系统将在本地网络广播LLMNR查询，寻求其他主机的响应。

这种对多播广播的依赖会引入漏洞，因为任何活动系统都可以响应查询，从而可能会误导请求系统。

安全影响：

·LLMNR查询的广播特性允许本地网络上的任何系统使用自己的IP地址来响应解析请求。恶意行为者可以利用这一点，发送包含攻击者系统地址的精心设计的响应。此功能为重大安全漏洞打开了大门，特别是当查询与SMB、MSSQL或HTTP等敏感服务相关时。成功的重定向可以方便捕获敏感信息，包括纯文本和散列帐户凭据。值得注意的是，散列凭据可能会受到现代暴力攻击，从而危及帐户安全。

推荐：

·为了减轻与LLMNR欺骗相关的风险，在受影响的系统中禁用LLMNR功能至关重要。这可以通过以下方法实现：

·组策略配置：导航到计算机配置管理模板网络DNS客户端，并将“关闭多播名称解析”设置为已启用。要管理Windows Server 2003域控制器上的配置，请使用此链接提供的适用于Windows7的远程服务器管理工具。

·Windows Vista/7/10家庭版注册表修改：访问注册表HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTDNSClient并将“EnableMulticast”键修改为0或将其删除以禁用该功能。

2. NetBIOS名称服务(NBNS)欺骗#

CVSS3：9.8

发生率：73.3%

它是什么：

NetBIOS名称服务(NBNS)是内部网络中的工作站在DNS服务器不可用或无响应时用来解析域名的协议。当系统尝试解析DNS名称时，它会遵循以下步骤：

1. 系统首先检查其本地主机文件中是否存在将DNS名称映射到IP地址的条目。
2. 如果不存在本地映射，系统会向其配置的DNS服务器发送DNS查询，以尝试检索相应的IP地址。
3. 如果DNS服务器无法解析名称，系统将在本地网络广播NBNS查询，征求其他系统的响应。

这种对广播的依赖使得NBNS容易受到欺骗攻击，攻击者可以使用虚假的IP地址进行响应。

安全影响：

·NBNS查询的广播性质意味着本地网络上的任何系统都可以响应。恶意行为者可以利用此漏洞，他们可能会使用攻击者系统的IP地址回答这些查询，从而重定向用于合法服务的流量。例如，SMB、MSSQL或HTTP等服务可能会无意中将敏感数据（包括明文或散列帐户凭据）发送到攻击者的系统。此外，现代计算能力可以促进散列凭据的破解，从而可能允许未经授权访问用户帐户。

推荐：

·为了降低NBNS欺骗的风险，建议在内部网络内的所有主机上禁用NetBIOS服务。这可以通过多种方法来实现，包括配置DHCP选项、调整网络适配器设置或修改系统注册表。实施这些更改将大大减少与NBNS相关的潜在攻击面。

1. 多播DNS(mDNS)欺骗#

CVSS3：9.8

发生率：78.2%

它是什么：

多播DNS(mDNS)是本地网络的名称解析协议，当专用DNS服务器不可用时，可帮助解析域名。解析过程分阶段进行：

1. 系统首先查阅其本地主机文件以查找任何合适的DNS名称/IP地址映射。
2. 在没有配置DNS服务器的情况下，系统会使用mDNS，广播IP多播查询，请求与DNS名称对应的主机提供身份信息。此协议行为暴露了一个潜在的漏洞，恶意行为者可以利用该漏洞，通过响应这些查询来冒充合法系统。

安全影响：

·mDNS查询通过本地子网传输，任何能够接收它们的设备都可以应答。此漏洞允许攻击者使用其系统的IP地址进行响应，从而可能误导查询系统。此类利用可能会导致敏感信息被拦截，包括未加密和散列凭据，具体取决于受害者试图访问的特定服务（例如SMB、MSSQL、HTTP）。需要注意的是，使用当代计算资源和暴力攻击方法，散列凭据通常可以在相对较短的时间内被破解。

推荐：

·为了降低mDNS欺骗的风险，主要建议是完全禁用未使用的mDNS。在Windows系统上，这通常可以通过实施“禁用多播名称解析”组策略来实现。由于许多应用程序都有可能重新引入mDNS功能，因此另一种策略是通过Windows防火墙阻止UDP端口5353。对于非Windows系统，禁用Apple Bonjour或avahi-daemon等服务可以提供类似的保护。

·需要注意的是，禁用mDNS可能会破坏屏幕投射和某些会议室技术等功能。如果无法完全禁用，请考虑将受影响的系统隔离在受控网络段内，并要求访问这些系统的任何帐户都使用强而复杂的密码。

渗透测试揭示了哪些安全漏洞#

在分析了数以万计的网络评估后，有一点很清楚——许多安全漏洞不是由先进的黑客技术造成的，而是由简单、可避免的错误造成的。如弱密码、忘记的错误配置和未打补丁的系统为攻击者创造了可乘之机。这些漏洞并非千载难逢。是年复一年在各种规模的网络中反复出现的问题。

渗透测试就像在真正的攻击者之前对安全性进行压力测试。揭示了某人如何利用现实世界攻击者所依赖的相同策略闯入、移动和提升权限。一次又一次，评估证明，即使是防御能力强大的公司也常常存在等待被利用的隐藏弱点。

问题是什么？大多数组织仍然依赖年度渗透测试来确保合规性，中间会留下数月的盲点。这就是渗透测试的作用所在。提供自动化、按需的网络渗透测试，因此无需等待审计来告诉您出了什么问题，而是可以全年查找和修复可利用的漏洞。

网络威胁不会减缓，因此安全测试也不应该减缓。无论是手动还是通过自动化方式进行，定期进行网络渗透测试都是领先于攻击者的关键——而不仅仅是勾选合规性复选框。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：IT团队忽视的10个关键网络渗透测试发现