惊险一刻:公司网络差点被打穿

2024-09-25 66 0

作为一家设备齐全、流程完善的大公司的漏洞运营,李明(化名)格外谨慎。他非常清楚,被漏洞打穿意味着什么。
李明也是被搞怕了。之前每天光漏扫都有大几十个漏洞,再加上官方&非官方渠道的漏洞消息,要修的漏洞轻松过百。这么多漏洞,李明一个人一周根本修不完,而且绝大部分的漏洞信息不足,要么不值得修,要么该修未及时修,要么就根本没法修。

前段时间,公司虽然接入了新的商业漏洞情报,但李明心里依旧没底,每天盼着别出事。

快!有漏洞

网络世界的另一头,并没有和李明心意相通。午休刚过,李明刚打开电脑,屏幕就弹出一条消息:M软件高危漏洞告警!


李明又惊又疑,这新上线的漏洞情报,好不容易报一个漏洞,不会和之前的漏扫告警一个尿性,也是一堆误报吧?来不及多想,李明赶紧点开消息,登录微步漏洞情报系统。
“该协议存在远程代码执行漏洞,攻击者可以通过发送特制的网络数据包,触发该漏洞......”短短几句描述,李明看得有些心慌,鼠标继续往下滑,更慌了:“无需受害者配合,利用该漏洞,无需任何权限。”

李明初步评估,此洞危险。

漏洞评估

李明打开订阅的微步漏洞详情。
“CVSS综合评估,危害等级为严重。微步VPT风险评估同样为高风险,极有可能被利用。”李明眉头一紧,“目前受影响的软件版本有5个。针对该漏洞,公开PoC有4个,微步有已验证PoC及临时缓解措施。”
李明继续滑动鼠标。根据微步提供的漏洞攻击画像来看,该漏洞已被攻击者利用了将近80万次,活跃利用的团伙IP数接近40个。

“被利用得这么频繁?”李明纳闷,一边给领导发消息:”基于目前掌握的信息,这个漏洞危害等级很高,需要内部快速自查,否则存在较大风险。”

排查修复

“有PoC?临时缓解措施有没有?”IM弹出领导回复。
“都有!”李明秒回。
“那赶紧通知业务线,推进修复。”领导回复。
一切都很顺利,李明给业务同事发信息,建议立即自查并修复漏洞。
不过业务同事,给李明泼了一盆冷水。

01验证漏洞真实存在

“漏洞修复的影响很大,也需要投入很多人力,怎么确定我们线上业务真的受这个漏洞影响?” 业务同事提出质疑。
没办法,只有实际复现。“我们可以用PoC打一次。”

李明打开微步漏洞情报,找到该漏洞微步已验证的PoC,将文件下载后发送给业务同事。

02 上线临时缓解措施

五分钟后,业务同事发来消息:
“官方补丁生效需重启应用,现在是业务访问高峰,暂时没法打补丁,得等到晚上业务访问量下降后才能升级并完成重启 ......”
李明早有心理准备。

“那就先在WAF上线针对漏洞的临时防护措施,临时拦截该漏洞利用的访问路径”,李明立即将微步漏洞情报相关临时防护措施细节发送给业务同事,在确认无误后WAF上线临时防护措施。

全网修复上线

快速确定一家员工数近万企业,内部是否存在相关软件漏洞,并不容易。所幸李明所在公司一直比较注重资产管理,企业建立了基本的内外部资产台账。排查风险,只需将漏洞及已验证PoC直接与公司产品及组件名称模糊匹配,就能快速筛查存在的漏洞。
“有10个相关业务系统存在漏洞,已修复!”几个小时后,李明收到业务同事回复,长舒了一口气。“保住KPI,没被漏洞拿下!”李明窃喜。
第二天刚到工位,李明打开手机一看,微信里行业群“炸锅”了。群里一个接一个在问M软件漏洞的事情。李明随手就是一个漏洞详情链接,丢到聊天群。
此时,窗外阳光明媚。

李明打开文档工具,敲下几个字:基于VPT的漏洞情报落地

常态化漏洞运营

微步提供预警及时性国内领先的漏洞情报数据(10%以上2024年漏洞平均早于官方漏洞库80-200天),漏洞总量及覆盖度国内领先(平均漏洞总量超过三大漏洞库及其他厂商20%以上),可第一时间为企业输出最新漏洞情报,快速发现全网最新的漏洞利用情报、PoC/EXP等信息,生成微步VPT漏洞评级。

基于微步漏洞情报能力及李明的规划推进,该公司建立起了全新的常态化漏洞运营,在漏洞运营流程、漏洞预警及时性、漏洞告警量级都有了非常明显的提升:

  • 通过自动化处理及过滤,公司单周需响应的漏洞数量,从每天50+个降低为每周不到10个

  • 针对漏洞,提前预警时效性,从2周缩短到1-3

  • 使用期间感知到多个高危漏洞,并第一时间启动公司内部响应;

  • 基于微步自研的准确无损漏洞PoC,保证了快速漏洞修复与漏洞验证

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论