企业内网最易被忽视的十大漏洞，黑客入侵的捷径

大多数企业都存在着极其容易被黑客利用的漏洞。这些漏洞并非复杂的零日漏洞，而是 IT 团队经常忽略的配置错误、弱密码和未修补的系统漏洞。攻击者正是利用这些“捷径”，轻松入侵企业内网，窃取数据、勒索赎金，甚至完全控制整个网络。

十大常见内网漏洞及技术剖析

以下是 vPenTest 发现的最常见的十大内网漏洞，按发生率从高到低排列，并附有技术原理和防御建议：

1. 1、mDNS 欺骗 (发生率：78.2%)
• 技术原理：
  
  mDNS（Multicast DNS）是一种在局域网内解析主机名的协议，类似于 DNS，但无需专门的 DNS 服务器。当一台设备需要解析另一台设备的名称时，它会向局域网内广播一个 mDNS 查询（例如，_services._dns-sd._udp.local）。正常情况下，目标设备会响应自己的 IP 地址。 攻击者可以监听网络中的 mDNS 查询，并伪造响应，在响应包中提供自己的IP地址，将目标设备的名称解析到攻击者自己的 IP 地址。
• 危害：
  
         中间人攻击、钓鱼攻击、恶意软件传播。
• 防御建议：
• 禁用 mDNS：
  
   如果您的网络不需要 mDNS 功能（如 Apple Bonjour 服务），可以在 Windows 系统中通过组策略禁用“多播名称解析”，或在        Linux 系统中禁用 avahi-daemon 服务。
• 网络隔离：
  
          将关键服务器和用户网络隔离，限制 mDNS 广播的范围。
• 防火墙：
  
          在防火墙上阻止 UDP 5353 端口的入站和出站流量。
• 使用VLAN:
  
  将不同VLAN的网络隔离，阻止mDNS广播。
2. 2、NetBIOS 名称服务 (NBNS) 欺骗 (73.3%)
• 技术原理： NetBIOS Name Service (NBNS) 
  
  是一个更老旧的协议，用于在 Windows 网络中解析主机名。类似于 mDNS，NBNS 也使用广播查询。攻击者可以监听 NBNS 查询，并伪造响应，将目标主机名解析到自己的 IP 地址。
• 危害：
  
         中间人攻击、凭据窃取（特别是 NTLM 哈希）。
• 防御建议：
• 禁用 NetBIOS over TCP/IP：
  
   在网络适配器的高级        TCP/IP 设置中禁用 NetBIOS over TCP/IP。
• 防火墙：
  
          在防火墙上阻止 UDP 137 和 138 端口的入站和出站流量。
3. 3、链路本地多播名称解析 (LLMNR) 欺骗 (65.5%)
• 技术原理: LLMNR (Link-Local Multicast Name       Resolution) 
  
  是 Windows 系统在       DNS 解析失败时使用的备用名称解析协议。它也使用多播查询。
• 危害:
  
  与 mDNS 和 NBNS 欺骗类似。
• 防御建议：
• 禁用 LLMNR：
  
   通过组策略禁用 LLMNR（“计算机配置”->“管理模板”->“网络”->“DNS 客户端”->“关闭多播名称解析”）。
• 防火墙：
  
          阻止 UDP 5355 端口的流量。
4. 4、IPv6 DNS 欺骗 (49.9%)

• 技术原理:
  
  攻击者在内网中部署一个恶意的 DHCPv6 服务器, 为客户端分配 IP 地址和 DNS 服务器地址。 由于 Windows 默认优先使用 IPv6, 攻击者可以将自己的机器设置为 DNS 服务器, 从而劫持      DNS 查询。
• 危害：
  
        中间人攻击, 窃取敏感信息。
• 防御建议:
• 网络层控制:
  
  在交换机和防火墙上启用 DHCPv6 Snooping 和 RA Guard 等功能。
• IPv4 优先：
  
   通过组策略或注册表修改，强制 Windows 优先使用 IPv4。

1. 5、过时的 Microsoft Windows 系统 (24.9%)
• 技术原理：
  
         过时的 Windows 系统未安装最新的安全补丁，存在大量已知漏洞。
• 危害：
  
         攻击者可以利用这些已知漏洞，轻松获取系统控制权。
• 防御建议：
• 及时更新：
  
          确保所有 Windows 系统都安装了最新的安全补丁。
• WSUS：
  
   使用 Windows Server Update        Services (WSUS) 等工具集中管理补丁。
2. 6、IPMI 身份验证绕过 (15.7%)
• 技术原理： IPMI (Intelligent Platform Management Interface) 
  
  是一种硬件级别的管理接口，通常用于远程管理服务器。某些 IPMI 实现存在漏洞（如 Cipher 0 漏洞），允许攻击者绕过身份验证，获取密码哈希，甚至明文密码。
• 危害：
  
         攻击者可以完全控制服务器。
• 防御建议：
• 更新 IPMI 固件：
• 网络隔离：
  
          将 IPMI 接口隔离到单独的管理网络。
• 强密码：
  
          为 IPMI 接口设置强密码。
• 禁用不必要的服务
3. 7、Microsoft Windows RCE (EternalBlue) (4.5%)
• 技术原理： EternalBlue (MS17-010, CVE-2017-0144) 
  
  是一个存在于 Windows SMBv1 协议中的漏洞，攻击者可以利用该漏洞在目标系统上执行任意代码。
• 危害：
  
         远程代码执行，完全控制系统。
• 防御建议：
• 安装补丁：
  
          安装 MS17-010 补丁。
• 禁用 SMBv1：
  
   如果不需要 SMBv1，可以将其禁用。
4. 8、Microsoft Windows RCE (BlueKeep) (4.4%)
• 技术原理: BlueKeep (CVE-2019-0708) 
  
  是一个存在于 Windows 远程桌面服务 (RDS) 中的漏洞, 攻击者可以利用该漏洞在目标系统上执行任意代码。
• 危害:
  
  远程代码执行，完全控制系统。
• 防御建议:
• 安装补丁:
• 启用网络级别身份验证 (NLA)
5. 9、Firebird 服务器接受默认凭据 (1.4%)
• 技术原理：
  
  Firebird 数据库服务器默认使用 SYSDBA/masterkey      作为管理员凭据。
• 危害：
  
         攻击者可以访问和修改数据库。
• 防御建议：
  
         更改默认密码。
6. 10、密码缺陷 - Redis 服务 (1.3%)
• 技术原理： Redis 
  
  是一种内存数据库, 如果未设置密码或密码过于简单, 攻击者可以直接连接并操作数据。
• 危害:
  
  数据泄露、篡改或删除。
• 防御建议:
• 设置强密码
• 绑定IP地址
• 防火墙

原文始发于微信公众号（技术修道场）：企业内网最易被忽视的十大漏洞，黑客入侵的“捷径”