– 作者:zorelworld

惊心:0day漏洞被确认为「超危」

近日,某金融企业与中睿天下收到了国家信息安全漏洞库(CNNVD)发出的《信息安全漏洞提交证明》。经验证,该0day漏洞被中国国家信息安全漏洞库确认为「超危」。

根据漏洞的影响范围、利用方式、攻击后果等情况,CNNVD将漏洞的危害级别划分为四个等级,从高至低依次分为超危、高危、中危和低危。

该办公系统几乎是每个企业必备,「超危」则意味着该0day漏洞存在巨大的风险。如果没有及时发现,后果不堪设想。

1.jpg

漏洞级别:超危

溯源:未知0day如何被发现?

未知威胁发现四部曲:部署睿眼-发现威胁-溯源还原-验证漏洞。

1.部署睿眼产品

2018年年中,某金融企业部署使用睿眼•WEB攻击溯源系统还不到半年。

2.jpg
睿眼·web产品界面

2.发现未知威胁

在一次看似再寻常不过的巡检中,安全工程师通过睿眼,发现了异常——某系统被攻击者植入Webshell。

3.jpg睿眼·web发现后门

3.溯源还原过程

中睿天下立即派遣安全专家进驻用户现场还原事实真相。

通过睿眼攻击溯源模块,快速对上传后门的IP进行全流量回溯,发现了攻击,并完整地还原了整个攻击的全过程。

4.jpg睿眼·web溯源攻击过程

4.验证并修复漏洞

通过测试,中睿天下安全专家与该金融企业安全负责人发现此0day漏洞危害较高,无需登录后台就能利用。且针对该系统的所有版本,攻击者可直接上传任意文件。

对此,项目组迅速联动其他部门,有针对性地进行整改。


联防:申报漏洞并预警

金融行业属于国家关键信息基础设施,同时也是黑客的主要攻击目标。

考虑到此办公系统在金融行业应用广泛,中睿天下立马联合发现0day漏洞的金融企业,将漏洞的详细情况第一时间报送国家信息安全漏洞库CNNVD。

Q:为什么睿眼•WEB攻击溯源系统能发现未知威胁?

A:因为睿眼不仅基于漏洞特征检测,还会对网络行为进行锚点建模,形成基于黑客目的及行为的新型威胁检测模型,所以能够及时发现异常的网络行为,深度洞察各类高隐蔽性的威胁。

来源:freebuf.com 0000-00-00 00:00:00 by: zorelworld

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论