2018安全漏洞观察年度报告.pdf

2018长亭安全漏洞观察年度报告What the Vulnerabilities Tellin 2018那些漏洞讲述的事 北京长亭科技有限公司一年又结束了，在过去2018年，你们感受到网络安全世界的变化了吗？长亭科技在过去的一年尝试以漏洞为切入点，从重大安全事件、漏洞数量、利用方式的变化等等阐述漏洞会带来的影响，发布了系列季度漏洞观察报告。在共同迈入新年的时间点，我们又一起带了哪些思考进入未来呢？To网络安全世界的 Super Heroes：这次报告将带您一起回顾和盘点2018年的安全大事件，看到每件事情背后的含义。同时，去年在全球范围内，我们可以看到隐私数据越来越得到重视，欧盟正式启用了“史上最严”通用数据保护条例，但数据泄露事件依然层出不穷，由暗网多次售卖隐私数据可见一斑。在国内，随着中华人民共和国网络安全法的正式实施，等级保护逐渐进入等保2.0时代。因此，这次报告也将对这些相关的监督条例进行分析。企业如何提升自身安全水平？除了不断的上设备、上系统，2018年在人员能力方面，全国上下掀起了一股攻防演练的热潮，以多维度、进一步评估防护效果。如何系统科学地依据企业自身特色展开攻防演练，也是本次报告探讨的内容之一。在攻防基础研究方面，对于重要关键基础设施之一的云计算服务所面临的安全最大威胁虚拟机逃逸，研究人员攻克了难关，取得了阶段性进展。围绕以上关键事件，我们编纂了系列文章，将为读者一一解开如下疑问： 2018年，世界范围内产生了哪些具有代表性的严重漏洞？ 企业的业务系统面临怎样的安全威胁？ 暗网屡次售卖隐私数据，数据泄露到底有多严重？ 网络安全等级保护2.0有哪些变化？ 怎样解读欧盟正式启用的通用数据保护条例？ 全国各地掀起了一股攻防演练的热潮，究竟是怎么回事？ 步入云时代，虚拟机逃逸究竟是科幻还是现实？生长有速、万物有度，我们一起去把握网络安全变化的脉搏。2018著名漏洞回顾 04作者：王子航企业漏洞威胁分析 10作者：常明政数据泄露：公民隐私信息泄露 事件规模陡增，保护公民隐私信息需要形成合力 14作者：王放网络安全等级保护发展趋势 18作者：张晏史上最严数据保护条例GDPR影响浅析 29作者：Hanzi企业防护新思路，以攻击磨炼防守：攻防演练 32作者：someone逃离云端“母体”虚拟机逃逸研究进展 35作者：杨坤目录CONTENTS2018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 2018作者：王子航撕开企业的网络边界：两个思科网络设备远程代码执行漏洞思科ASA防火墙webvpn远程代码执行漏洞1月29日，思科官方发布安全公告，修复了存在于ASA系列防火墙中的一个远程代码执行漏洞（CVE-2018-0101）。该漏洞由英国安全公司NCC Group的安全研究员Cedric Halbronn报告。CVE-2018-0101是一个二次释放（Double Free）漏洞。当ASA设备启用webvpn功能时，未经认证的攻击者通过发送恶意XML数据包，即可在受影响的目标设备上执行恶意代码。思科Smart Install远程代码执行漏洞3月28日，思科官方再次发布安全公告，针对Smart Install远程代码执行漏洞（CVE-2018-0171） 进行了修复。该漏洞由安全公司Embedi的研究人员通过2017年的GeekP-wn破解大赛提交给厂商。Smart Install是思科网络设备中用于实现即插即用配置和镜像管理等功能的协议 ，使用时通常监听在TCP端口4786。思科IOS软件在处理该协议时存在缓冲区溢出漏洞，攻击者无需经过认证，就可以通过构造畸形的数据包在未修复的设备上实现远程代码执行。042018著名漏洞回顾2018年又是漏洞丰收的一年，大大小小、形形色色的漏洞数不胜数。从常见的应用程序、开发框架、底层组件，再到操作系统、网络设备、虚拟化产品，都爆发过各种各样的漏洞。而我们将从这些漏洞中，挑选出那些最能直接影响企业客户、利用要求低，且一旦被利用就会造成企业严重损失的漏洞，作为2018年的代表性漏洞进行回顾。2018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 201801一张图片攻陷服务器：Ghostscript多个沙盒绕过漏洞Ghostscript是PostScript和PDF的解析器，它被许多图片处理库所使用，如ImageMagick、Python PIL等。默认情况下这些图片处理库会根据图片的内容将其分发给不同的处理方法，其中就包括Ghostscript。Ghostscript作为各种常见图像处理库的底层组件，一旦出现安全问题，势必造成灾难性的危害。比如攻击者仅仅通过上传一张恶意图片，就可以在依赖Ghostscript进行图像处理的网站服务器上执行任意代码。其实早在 2016年时，ImageMagick就出现过命令执行漏洞（CVE-2016-3714），当时就导致国内诸多厂商及开源程序中招，并且许多厂商因此遭受严重损失。而在 2018年，Ghostscript屡次爆发的沙盒绕过安全问题，也会影响到Image-Magick等各种上层组件，让人头疼不已。对于企业来说，最好的办法是提前进行加固，在确定不影响业务的情况下卸载Ghostscript。052018年，Ghostscript屡次被安全研究员曝光出存在沙盒绕过漏洞：08/21Tavis Ormandy通过公开邮件列表，指出Ghostscript安全沙盒可以被绕过，导致任意命令执行漏洞10/09Tavis Ormandy再次指出Ghostscript安全沙盒可以被绕过，导致任意文件读写漏洞11/21Man Yue Mo在Twitter上指出Ghostscript的安全沙盒又可以被绕过，导致任意命令执行漏洞2018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 20182018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 2018缝缝又补补的WebLogic：WebLogic多个远程代码执行漏洞打开云端的上帝视角：VMware ESXi虚拟机逃逸漏洞WebLogic是Oracle公司出品的一个基于JavaEE架构的中间件服务器，用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。WebLogic支持多种通信协议，其中包括HTTP和T3协议，并且它们都共用同一个端口（默认监听端口为7001）。其中T3协议基于Java序列化机制来传输对象，并且Web-Logic使用黑名单对反序列化的类进行过滤。在2018年，WebLogic又被曝光出多个反序列化漏洞。攻击者通过利用黑名单外的类构造恶意的序列化对象，通过T3协议发送到服务端，服务端在反序列化解析处理时，即会执行攻击者指定的恶意代码。WebLogic通过T3协议进行构造利用的反序列化漏洞，可以统一通过禁用T3协议来解决。但除了反序列化漏洞，更令人惊讶的是WebLogic中竟然还存在着任意文件上传漏洞（CVE-2018-2894），攻击者可以直接在未授权的情况下访问WebLogic Web服务测试客户端的配置页面，上传恶意JSP脚本文件，从而造成恶意代码执行。由于文件上传漏洞存在于HTTP Web服务中，因此仅仅通过禁用T3协议并不能起作用。VMware ESXi是VMware开发的企业级1类hypervisor，用于部署和服务虚拟机，也是VMware企业私有云服务中直接与硬件交换的一层。该平台使用了VMware自己开发的VMkernel用于构建更快速和更安全的虚拟化环境。0610/24长亭科技安全研究员f1yyy在GeekPwn 2018国际安全极客大赛上，利用VMware虚拟化平台的多个漏洞，成功挑战VMware ESXi虚拟机逃逸项目，获取了ESXi宿主机系统的最高权限并进行任意控制。漏洞细节在赛后通过GeekPwn报告给厂商。11/09VMware官方发布安全通告，针对系列高危漏洞（CVE-2018-6981、CVE-2018-6982）进行了修复。这次修复的漏洞主要包括两个虚拟机逃逸漏洞，不止影响VMware ESXi，也同时影响VMware Workstation和VMware Fusion。2018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 2018漏洞源于VMware ESXi、Fusion和Workstation在vmxnet3虚拟网络适配器中存在未初始化的栈内存使用，该问题可能导致guest虚拟机在宿主机上执行代码。启用了vmxnet3网卡的虚拟机将会出现此问题，未使用则不受此漏洞影响。藏在无线AP里的幽灵：BleedingBit蓝牙芯片远程代码执行漏洞11月2日，来自Armis的安全研究人员发布文章，指出他们在由德州仪器（TI）生产的BLE（Bluetooth Low Energy）芯片中，发现了两个远程代码执行漏洞（CVE-2018-16986、CVE-2018-7080）。由于漏洞大量影响各种无线接入点（Cisco、Meraki、Aruba产品）、物联网设备（包括一些医学设备如胰岛素泵、心脏起搏器等），安全研究员给这两个漏洞命名为“BleedingBit”。07它的影响范围较广，使用TI芯片且支持BLE的设备都可能会受到影响。攻击者在有漏洞的目标设备附近区域，首先发送大量看起来正常，但却包含攻击者代码的BLE广播消息，这些消息内容会被存储到目标设备的BLE芯片内存中，然后再发送溢出数据包，这些数据包头部一个特定位被设定为On，导致芯片从数据包中分配的信息比实际需要的空间大得多而溢出，最终在目标设备上执行攻击者之前通过广播消息包含的恶意代码。BleedingBit漏洞（CVE-2018-16986）01BleedingBit漏洞（CVE-2018-7080）此漏洞是由于TI芯片的OAD（Over the Air rmware Download）功能，它被设计用于固件更新。OAD功能通常被用作开发工具，默认情况下，OAD不会自动配置为处理固件更新问题，但是某些产品仍然在生产环境中使用它。由于缺乏安全机制，攻击者可以通过向设备安装任意固件程序来执行恶意代码。同样，此漏洞的利用需要攻击者位于目标设备附近区域。02窃取容器编排的钥匙：Kubernetes权限提升漏洞Kubernetes（常简称为K8s）是用于自动部署、扩展和管理容器化应用程序的开源系统。它旨在提供“跨主机集群的自动部署、扩展以及运行应用程序容器的平台”。它支持一系列容器工具，包括Docker等。12月3日，Red Hat官方发布安全通告，指出Kubernetes（K8s）存在一个严重的权限提升漏洞（CVE-2018-1002105），所有基于Kubernetes的服务和产品都会受到此漏洞影响。这个漏洞造成的危害包括：任何拥有pod exec/attach/portforward权限的普通用户，可以获得运行在当前pod中任意计算节点的集群管理员权限，从而能够访问所有隐私数据，在这些pod中执行命令等。任何能够通过Kubernetes API server与后端服务器建立连接的用户，可以在保持连接不断开的基础上，进一步利用Kubernetes API server已经授权的TLS凭证，发送被授权的任意请求，从而造成权限提升甚至更大的危害。攻击者只要保证该聚合API服务器在Kubernetes API server的网络中被允许即可。而在默认情况下，所有的用户都可以在没有限制的情况下完成以上攻击。0801022018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 2018PHP开发者的梦魇：ThinkPHP5远程代码执行漏洞ThinkPHP是一个快速、兼容而且简单的轻量级PHP开发框架，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷Web应用开发和简化企业应用开发而诞生的。12月10日，ThinkPHP官方发布了安全更新，修复了存在于ThinkPHP5框架中的一个高危漏洞。由于ThinkPHP5框架对控制器名没有进行足够严格的检测，导致在没有开启强制路由的情况下，攻击者仅仅通过一个HTTP GET请求，就可以在服务端执行任意恶意代码。此漏洞利用简单、危害大，曝光后被很多黑产和僵尸网络所利用。并且由于国内还有不少CMS、Web框架等是在ThinkPHP的基础上做的二次开发，想必很多下游软件也会遭受漏洞影响。092018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 20182018年，长亭科技安全服务团队共服务重点客户200余家，服务内容包括渗透测试、安全培训、红蓝对抗、应急响应、代码审计等。本次报告抽样其中的171家进行数据统计，试图从企业/机构维度展示全年的漏洞威胁状况。高危漏洞分布在被抽样的企业/机构中，长亭科技安全服务团队累计发现安全威胁4120个，其中高危漏洞1458个，占比高达35.4%，主要由存在于Web的SQL注入漏洞、越权漏洞 、弱口令及业务逻辑漏洞，存在于iOS客户端的不安全的ATS配置、未使用SSL Pinning、敏感内容输入到日志，以及存在于Android客户端的不正确的证书校验、Activity劫持、代码可被重打包等问题组成。中危漏洞1186个，占全部漏洞数量的28.8%。平均每家企业/机构出现中高危漏洞的数量约为15.5个。35.4%高危漏洞28.8%中危漏洞35.8%低危漏洞1.说明：本质上，越权漏洞也是业务逻辑漏洞中的一种，但由于其漏洞影响较为明确且出现频率较高，故特别列出，并不统计在业务逻辑漏洞类别下。图1 漏洞危害评级漏洞危害评级10作者：常明政企业漏洞威胁分析0212018长亭安全漏洞年度报告/那些漏洞讲述的事What the Vulnerabilities Tell in 2018