有人在2年前就看過SANS的TOP 20網路安全漏洞,卻以為它是一成不變,其實漏洞只會增不會減,2年前也許你的系統安全,並不代表2年後仍是如此,最簡單也最主動的防禦就是修補漏洞。
10月8日,SANS公布20項最頻繁使用的網路安全漏洞(www.sans.org/top20),列舉10項Windows相關漏洞及10項Unix及Linux相關漏洞,內容包含弱點描述、影響平臺、CVE或CAN編號、檢測方式及補救方法等。大部分的網路入侵事件都可以追溯到這份報告所列的安全弱點,因為駭客也是投機分子,會使用最容易取得的入侵軟體,鑽大家都知道的安全漏洞。弱點持續增加,修補刻不容緩
SANS從3年前就開始發布這樣的排行榜,每年更新一次,最初是以「TOP 10」的形式,公布10個最常被惡意使用的安全漏洞,之後才演變成現在的模式,Windows和Unix系統安全漏洞各10個的「TOP 20排行榜」。
今年是SANS第4次公布,建議大家再次確認這些漏洞是否已經修補。最有效的確認方式就是用弱點稽核軟體檢測這20項弱點,免費的網路掃描軟體SARA就特別為了這20項安全弱點,推出SARA特別版,不少商業弱點稽核軟體也可以掃描這些弱點,在SANS網站上,有列出針對這20項弱點的弱點稽核軟體清單。
與去年公布的TOP 20比較一下,你會發現Windows平臺的第5、第8和第9,及Unix/Linux平臺中第5和第9都是新進榜的漏洞,而IIS、RPC及SQL等漏洞,仍是駭客的最愛。根據最近的攻擊趨勢,我們可以發現新漏洞是駭客的最愛,例如9月才公布的Proftpd漏洞,很快地就成為駭客攻擊的目標,登上10月攻擊行為的榜首。我們還是要提醒大家一下,攻擊周期已經從數個月縮短成一個月內,這個月你沒補漏洞,下個月可能就是受害者。1/2的機率,木馬群起而攻
駭客入侵的第一步是鑑別主機的作業系統,然後再針對漏洞進行攻擊。一般會利用Ping和Tracert指令判斷主機類型,Ping會檢測與目標主機是否相連,如果TTL值是32,那麼目標主機的作業系統就是Windows 95/98,TTL值是128就是Windows NT/2000/XP,如果TTL值是64或255,那麼就是Unix或Linux。
假如入侵者信任Ping所反映的結果,那麼我們可以修改TTL值,以「暫時」欺騙入侵者,以Windows XP作業系統為例,正常的TTL值是128,我們可以去將系統登錄檔的值改成255,入侵者就會以為是Unix系統,採取完全相反的弱點和工具進行攻擊。
雖然這樣的方式無法阻擋入侵者,但卻有欺敵的效果,駭客要多花1倍的時間才能入侵成功,我們也多了1倍的反應時間。當然,也有人是直接在防火牆擋掉「Ping」,讓主機無法反映TTL值,不過卻有其他的方法能知道是何種作業系統,而且猜對主機類型的機率是1/2,不是Windows就是Unix。
10月病毒感染率第1名是WORM_LOVGATE.G(愛之門病毒),它會利用字典檔暴力破解密碼,更改系統的登錄檔,並且在分享的檔案植入後門程式。而且有愈來愈多的病毒,採取相同的攻擊手法,例如利用OICQ(QQ)傳播的木馬程式TROJ_RETSAM.A及TROJ_QQHOOK.A,他們都會更改系統的設定,導致不正常運作,使用者可至趨勢網站下載「損害清除服務(Trend Micro Damage Cleanup Services)」,自動清除木馬程式,恢復被更改的設定。
疾風病毒則由上個月的第7名,再度攀升至本月第2名,而且感染數量增加3倍。與上個月相同,電子郵件仍是病毒主要的傳播途徑,不少病毒會偽裝成螢幕保護程式、3D動畫或系統郵件(例如admin@ithome.com.tw),企圖誤導使用者開啟附件檔,只要你一上當,病毒就會自動蒐集通訊錄名單,在幾分數內大量散布出去,繼續毒害你的親朋好友。AlertCon風險等級
X-Force在十月共發布167項弱點,包含44項高風險、94項中風險及29項低風險弱點,其中「微軟Messenger Service漏洞」與「使用SSL/TLS協定之應用軟體的數項漏洞」是值得關注的攻擊手法,簡述如下:
微軟Messenger Service漏洞:微軟於10月15日公布編號MS03-043的Messenger Service(負責傳送和接收系統事件訊息的服務)漏洞,針對此漏洞的攻擊是以 UDP 協定觸發,允許遠端攻擊者透過管理者權限執行特殊的指令碼。
使用SSL/TLS 協定之應用軟體的數項漏洞:OpenSSL是一個開放原始碼的免費程式,普遍被使用在SSL及TLS協定的應用程式中,並且提供一個內含ASN.1(Abstract Syntax Notation One)譯碼器的函式庫。這個函式庫也是漏洞的起因,由於編碼錯誤,駭客能利用這個漏洞從遠端執行任意程式,造成阻斷服務。
只要是使用OpenSSL函式庫的產品,包括伺服器、防火牆、作業系統、加解密軟體等,都有可能被攻擊。攻擊趨勢
根據鈺松國際安全監控中心的紀錄,針對Proftpd進行的攻擊所占比例最高,高達29%。更值得注意的是,Proftpd漏洞於今年9月22號公布,很快地就成為10月分攻擊的目標,再次說明即時修補的重要性。
排名第2的是針對微軟IIS伺服器WebDAV弱點所進行的攻擊,佔18%。雖然所統計到的WebDAV攻擊,大部分都是由Welchia蠕蟲所造成,但與上個月相比,比例逐漸降低,顯示不少使用者已經修補漏洞,或者加強網路防護措施。
排名第3的是針對微軟RPC DCOM弱點進行的攻擊,是MSBlast系列蠕蟲(MSBlast、Nachi、Welchia)所造成的攻擊,佔10%。第4則是針對Sendmail伺服器所進行的攻擊,佔9%,該弱點於2003年3月公布,只會影響Sendmail 8.12.8以前的版本,仍有駭客嘗試攻擊未更新的Sendmail伺服器。
熱門新聞
2025-02-08
2025-02-12
2025-02-11
2025-02-13
2025-02-10
2025-02-11
