Akamai 安全視點：六類漏洞全面解析

近期，Akamai 安全研究團隊從漏洞風險評估、流行程度以及漏洞防範建議等維度，針對六類漏洞展開了系統性分析。面對如下漏洞風險，Akamai 建議您應用修補程式，及時更新系統。

1. IPSec 漏洞

盤點9月高風險漏洞，主要分為 IKEv1 和 IPv6 兩大 IPSec 核心協議的三個關鍵遠端代碼執行漏洞。它們藏身於負責處理和解析傳入資料包的代碼流中，存在著被未經身份驗證的攻擊者遠程觸發的高風險，被列為關鍵漏洞，CVSS 評分為9.8。

針對 IKE 這一加密金鑰協商常用協議，同時啟用有 IKEv1 和 IKEv2 的 Windows Server 非常容易受攻擊，我們建議企業在非應用 IPSec 期間予以禁用；同理，在不用 IPSec 時，也建議禁用 IPv6。

2. CRM 漏洞

雖然 CRM 這類應用程式常作為雲服務來提供，但9月盤點聚焦的兩個關鍵漏洞會涉及本地安裝，CVSS 評分為8.8。面對此類漏洞，當務之急應該是進行修補。若不能實現，Akamai 建議您使用分段來減少攻擊媒介。

兩類分段防護

● 安全圍欄

限制 CRM 伺服器工作站訪問範圍，僅允許擁有存取權限員工訪問系統。

● 用戶分段

攻擊需要經過身份驗證的使用者，由此可通過使用者分段實現有效抵禦媒介。

3. OLE DB 和 ODBC 漏洞

作為 API 規範的 OLE DB 和 ODBC 中，有11個遠端代碼執行漏洞均被標記為重要漏洞，6個漏洞位於 SQL 伺服器 OLE DB 提供程式中，其餘5個位於 ODBC 驅動程式中，CVSS 評分為8.8。

防範 OLE DB 漏洞被濫用，可用分段法。阻截攻擊鏈，可通過建立企業內 SQL 伺服器允許列表，遮罩外部未知伺服器。而 ODBC 漏洞會氾濫于 Access 應用程式，建議企業加強安全等級。

4. SharePoint 漏洞

Akamai 監控發現，21%的網路至少有一台 SharePoint 伺服器。SharePoint 是基於 Web 的文檔管理和存儲系統，本次發佈共計4個遠端代碼執行漏洞，3個 CVSS 評分為8.8，1個評分為8.1。

鑒於啟用4個漏洞需要特定許可權，但耗時費力，因此推薦優先修補伺服器。同時，您也可以針對較小的異常登錄情況發出安全警報，或創建 SharePoint 存取權限的自訂規則。

5. 遠程程序呼叫漏洞

在高效的進程通信場景中，遠端程序呼叫較為普遍。標準的用戶端/伺服器模式，也是當下技術體系中的常用協定，被應用于多項系統服務之中。

經 Akamai 監控分析可知，此漏洞僅存在於 Windows Server 上。攻擊者會借此訪問 portmap.sys 服務，由此企業需要針對相關區域進行重點防禦。

6. Kerberos 漏洞

在常用身份驗證機制 Kerberos 中，發現了兩個涉及加密降級的漏洞，CVSS 評分為8.1。攻擊者通過將攻擊目標和網域控制站間的連接，修改為較弱等級的 RC4-md4 加密，來破解受害者的 Kerberos 工作階段金鑰，進而提升許可權。

使用 Kerberos Armoring 防禦外，漏洞得以暴露還可能是因為模擬攻擊。針對這種情況，我們建議企業使用 IDS 或 IPS 解決方案，建立主動防護機制、減輕部分風險。

截止目前，如上所述概括了9月漏洞特點與相應建議。後續，Akamai 還將對相應風險進行持續審查。針對當前已知漏洞與潛在風險，Akamai Guardicore Segmentation 正在幫助全球數百個資料中心加強進程級網路監測，及時、全面地洞察網路連接情況，為企業安全團隊防控網路風險提供關鍵性參考，期待與

更多公司展開深度合作。

獲取更多 Akamai 對9月漏洞的觀點，敬請點擊連結

https://www.akamai.com/blog/security-research/akamai-perspective-patch-t...

深入探索。