华顺信安
网络安全黑盒之困:不安全的“漏洞补丁”

2022/05/06 19:18:46

4月25日,外媒曝出:用来修补AWS中Log4Shell 漏洞的热补丁存在巨大安全隐患,可导致主机被完全接管。研究人员表示,这会极大提高攻击者从单个受感染容器横向移动到数十甚至数百个容器的可能性。此外,该问题还将导致攻击者可利用其渗透到容器映像注册表中,从而发起供应链攻击。

据悉,目前AWS官方已经修复该热补丁并发布了新版本,一时间出现了“补丁套补丁”的情况。从用户角度看,如跟随官方打“补丁1.0”,那在新版本发布前,其实是在让自己的资产面临巨大风险。而这中间的时间差所带来的安全威胁,对于金融、能源、医疗等关键基础设施网络而言,无疑是致命的。

 

当我们在给系统打安全补丁的时候,其实我们在做什么?

从技术上讲,这是替换或修改相关配置文件或者代码文件,

而对于企业安全人员来说,

每当有安全漏洞被曝出,

厂商提供补丁最头疼的部分莫过于——

系统又引入了“未知”。

 

1、未知——安全补丁之惧

如今的企业单位网络系统复杂程度已经远超以往,功能更完善,漏洞出现的概率也更大。为了保护系统与信息安全,用户需要不断更新补丁。但补丁本身的安全性,对于使用者而言,则很可能是未知的。除了上述“热补丁安全隐患事件”,还有补丁需要反复修改的情况。

以2021年的Log4j2安全漏洞为例,漏洞爆发之后,官方接连发布了多次漏洞修复方案,原因在于官方发布的补丁存在问题。另外,虽然其本质上是底层组件的漏洞,但随着开源组件的层层打包,最终反映在了一大批软硬件产品中,如不及时修改将会造成更严重的后果。


2、从漏洞上学点什么

除了补丁与修复方案本身安全性未知带来的不可控风险,安全人员本身技术实力水平的提升也需要大量实践经验的积累与新技术输入。一名优秀的安全人员是企业信息化平稳运行的最重要的保障之一。

基于安全人员已有漏洞理论知识,其需在漏洞实操环境中,对漏洞利用方式、漏洞带来的威胁、漏洞修复方案可行性等内容进行深度探索。理论与实操相结合的方式,能够帮助安全人员对漏洞有更加深刻的认知以提升其自身实力。

 

3、“小试牛刀”一显身手

综上所述,对于网络安全而言,一个能贴近真实业务环境、验证漏洞修复方案安全性、让攻防演练中双方放开手脚“打”的平台,就显得十分必要。

 

Vulfocus漏洞威胁分析平台为华顺信安自主研发,可为实现资产、漏洞、人的“链条式”漏洞全生命周期管理及运营提供有效数据支撑。同时,产品可应用在网络安全威胁分析评估、漏洞/装备能力验证,及网络空间作战能力研究等场景中。此外,Vulfocus可为安全人员提供实战场景训练。

登录图.png 

 

补丁怎么打?

Vulfocus “镜像”出一套环境,

试试就知道了!

 

想研究一下漏洞?

Vulfocus内置丰富实战漏洞镜像库,

可对热门漏洞进行快速追踪及复现。

覆盖网络安全常见漏洞类型,

包括代码执行、XSS、文件操作漏洞、命令执行漏洞、认证绕过等,

漏洞根据操作难度分级、数据库类型、框架、开发语言维度进行打标签,

快速、全面且好找!

 

需要模拟真实环境?

简单快速构建网络拓扑功能,

仿真业务环境资源、通用IT资源,

根据测试场景需求组合,

完成对真实企业环境的仿真。


​Vulfocus漏洞威胁分析平台是一款以实战漏洞为核心的平台,聚焦行业热门、高价值漏洞,提供有效的漏洞实战资源,量化漏洞风险指标。让使用者对漏洞威胁、漏洞修复有新的认识,同时助力于企业安全人员实战能力提升,使得客户能够在面临重大网络安全事件时,可以拥有快速且精准的应急响应能力。