编辑信息技术 (IT) 专业人员在坏人之前发现公司弱点的最有效方法之一就是渗透测试。通过模拟现实世界的网络攻击,渗透测试(有时称为 pentests)可以提供有关组织安全状况的宝贵见解,揭示可能导致数据泄露或其他安全事件的弱点。
自动网络渗透测试平台 vPenTest 的创建者Vonahi Security刚刚发布了他们的年度报告《2024 年十大关键渗透测试发现》。在这份报告中,Vonahi Security 进行了超过 10,000 次自动网络渗透测试,揭示了 1,200 多个组织的十大内部网络渗透测试发现。
让我们深入研究每个关键发现,以更好地了解组织面临的常见可利用漏洞以及如何有效地解决它们。
十大渗透测试发现和建议
1. 多播 DNS (MDNS) 欺骗
多播 DNS (mDNS) 是一种在小型网络中用于解析 DNS 名称而无需本地 DNS 服务器的协议。它会将查询发送到本地子网,允许任何系统使用请求的 IP 地址进行响应。攻击者可以利用此功能,使用自己系统的 IP 地址进行响应。
建议:
防止漏洞利用的最有效方法是,如果未使用 mDNS,则将其完全禁用。根据具体实施,可以通过禁用 Apple Bonjour 或 avahi-daemon 服务来实现
2. NetBIOS 名称服务 (NBNS) 欺骗
NetBIOS 名称服务 (NBNS) 是内部网络中用于在 DNS 服务器不可用时解析 DNS 名称的协议。它会在网络上广播查询,任何系统都可以使用请求的 IP 地址进行响应。攻击者可以利用这一点,使用自己系统的 IP 地址进行响应。
建议:
以下是一些防止在 Windows 环境中使用 NBNS 或减少 NBNS Spoofing 攻击影响的策略:
- 配置 UseDnsOnlyForNameResolutions 注册表项,以防止系统使用 NBNS 查询(NetBIOS over TCP/IP 配置参数)。将注册表 DWORD 设置为
- 禁用内部网络中的所有 Windows 主机的 NetBIOS 服务。这可以通过 DHCP 选项、网络适配器设置或注册表项来完成
3. 链路本地多播名称解析 (LLMNR) 欺骗
链路本地多播名称解析 (LLMNR) 是内部网络中使用的一种协议,用于在 DNS 服务器不可用时解析 DNS 名称。它会在网络上广播查询,允许任何系统使用请求的 IP 地址进行响应。攻击者可以利用此功能,使用自己系统的 IP 地址进行响应。
建议:
防止利用的最有效方法是配置多播名称解析注册表项,以防止系统使用 LLMNR 查询。
- 使用组策略:计算机配置\管理模板\网络\DNS 客户端\关闭多播名称解析 = 已启用(要管理 Windows 2003 DC,请使用 Windows 7 的远程服务器管理工具)
- 仅适用于 Windows Vista/7/10 家庭版的注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows NT\DNSClient \EnableMulticast
4. IPV6 DNS 欺骗
当网络上部署恶意 DHCPv6 服务器时,就会发生 IPv6 DNS 欺骗。由于 Windows 系统更喜欢 IPv6 而不是 IPv4,因此启用 IPv6 的客户端将使用 DHCPv6 服务器(如果可用)。在攻击期间,会为这些客户端分配一个 IPv6 DNS 服务器,同时保留它们的 IPv4 配置。这允许攻击者通过重新配置客户端以使用攻击者的系统作为 DNS 服务器来拦截 DNS 请求。
建议:
除非业务运营需要 IPv6,否则请禁用它。由于禁用 IPv6 可能会导致网络服务中断,因此强烈建议在大规模部署之前测试此配置。另一种解决方案是在网络交换机上实施 DHCPv6 防护。本质上,DHCPv6 防护可确保只有授权的 DHCP 服务器列表才允许将租约分配给客户端
5.过时的Microsoft Windows系统
过时的 Microsoft Windows 系统容易受到攻击,因为它不再接收安全更新。这使其成为攻击者的轻松目标,攻击者可以利用其弱点并可能转向网络中的其他系统和资源。
建议:
使用最新的、制造商支持的操作系统替换过时的 Microsoft Windows 版本。
6. IPMI 身份验证绕过
智能平台管理接口 (IPMI) 允许管理员集中管理服务器。但是,某些服务器存在漏洞,攻击者可以利用这些漏洞绕过身份验证并提取密码哈希值。如果密码是默认密码或强度较弱,攻击者可以获取明文密码并获得远程访问权限。
建议:
由于此特定漏洞没有可用的补丁,建议执行以下一项或多项操作。
- 将 IPMI 访问限制于有限数量的系统 - 那些出于管理目的而需要访问的系统。
- 如果业务运营不需要 IPMI 服务,请禁用该服务。
- 将默认管理员密码更改为强而复杂的密码。
- 在服务上仅使用安全协议(例如 HTTPS 和 SSH),以限制攻击者在中间人攻击中成功获取此密码的机会。
7. Microsoft Windows RCE(BlueKeep)
测试期间发现易受 CVE-2019-0708 (BlueKeep) 攻击的系统。由于存在可用的工具和代码,此 Microsoft Windows 漏洞极易被利用,攻击者可借此完全控制受影响的系统。
建议:
建议在受影响的系统上应用安全更新。此外,组织应评估其补丁管理程序,以确定缺乏安全更新的原因。由于此漏洞是一种常见的漏洞,可能导致大量访问,因此应立即修复。
8. 本地管理员密码重用
在内部渗透测试中,发现许多系统共享同一个本地管理员密码。入侵一个本地管理员账户即可访问多个系统,这大大增加了组织内发生大规模入侵的风险。
建议:
使用Microsoft本地管理员密码解决方案(LDAPS)等解决方案,确保跨多个系统上的本地管理员密码不一致。
9. Microsoft Windows RCE(永恒之蓝)
测试期间发现存在易受 MS17-010(永恒之蓝)攻击的系统。由于存在可用的工具和代码,此 Windows 漏洞极易被利用,攻击者可借此完全控制受影响的系统。
建议:
建议在受影响的系统上应用安全更新。此外,组织应评估其补丁管理程序,以确定缺乏安全更新的原因。由于此漏洞是一种常见的漏洞,可能导致大量访问,因此应立即修复。
10.Dell EMC IDRAC 7/8 CGI 注入(CVE-2018-1207)
2.52.52.52 之前的 Dell EMC iDRAC7/iDRAC8 版本易受 CVE-2018-1207 命令注入漏洞影响。这允许未经身份验证的攻击者以 root 权限执行命令,从而完全控制 iDRAC 设备。
建议:
将固件升级到最新版本。
关键渗透测试结果的常见原因
虽然这些发现都是来自不同的漏洞,但它们中有许多共同点。许多最重要的渗透测试发现的根本原因仍然是配置缺陷和补丁缺陷。
配置弱点
配置漏洞通常是由于管理员部署的系统内服务强化不当造成的,包括弱/默认凭证、不必要的公开服务或过多的用户权限等问题。虽然某些配置漏洞在有限情况下可能被利用,但成功攻击的潜在影响相对较大。
修补缺陷
修补缺陷仍然是组织面临的一个主要问题,通常是由于兼容性等原因,以及补丁管理解决方案中的配置问题。
仅这两个主要问题就足以证明频繁进行渗透测试的必要性。虽然一年一次的测试是渗透测试的常用方法,但持续的测试在识别更接近实时环境的重大漏洞方面提供了很大的价值,可以了解安全风险如何导致重大危害。例如,Tenable 的 Nessus 扫描仪可能会识别 LLMNR,但仅作为信息。使用 Vonahi 的 vPenTest 进行季度或每月的网络渗透测试不仅突出了这些问题,还解释了它们的潜在影响。
什么是 vPenTest?
vPenTest 是一个领先的全自动网络渗透测试平台,可主动帮助降低组织 IT 环境中的安全风险和漏洞。它消除了寻找合格网络渗透测试人员的麻烦,并提供高质量的可交付成果,可传达已发现的漏洞、这些漏洞给组织带来的风险以及如何从技术和战略角度修复这些漏洞。最重要的是,它可以帮助增强组织的合规性管理能力。
vPenTest:主要功能和优势
- 全面评估:运行内部和外部测试以彻底检查网络中的所有潜在入口点。
- 真实世界模拟:模拟真实世界的网络威胁,以获得有关您的安全态势的宝贵见解。
- 及时且可操作的报告:收到详细且易于理解的报告,其中包含漏洞、其影响和建议的行动。
- 持续测试:设置每月的测试间隔,以确保主动和响应的安全措施。
- 高效的事件响应:尽早发现漏洞,有效地应对潜在的安全事件。
- 合规性一致性:满足 SOC2、PCI DSS、HIPAA、ISO 27001 和网络保险要求等监管合规性要求。
