如何发现“超危”0day漏洞 – 作者:zorelworld

0感叹号【首图】.png

惊心:联合申请漏洞被确认为「超危」

近日,某保险公司与中睿天下收到了国家信息安全漏洞库(CNNVD)发出的《信息安全漏洞提交证明》。同时经验证,该0day漏洞被中国国家信息安全漏洞库确认为「超危」。

根据漏洞的影响范围、利用方式、攻击后果等情况,CNNVD将漏洞的危害级别划分为四个等级,从高至低依次分为超危、高危、中危和低危。

考勤系统几乎是每个公司必备,「超危」则意味着该0day漏洞存在巨大的风险。如果没有及时发现,后果不堪设想。

1 证书 有红框.jpg信息安全漏洞提交证明

2 漏洞级别.png漏洞级别:超危

溯源:未知的0day漏洞如何被发现?

未知威胁发现四部曲:部署睿眼-发现威胁-溯源还原-验证漏洞。

部署睿眼产品

2018年5月,某保险公司刚部署完睿眼•WEB攻击溯源系统不久。

2 漏洞级别.png睿眼·web


发现未知威胁

在一次看似再寻常不过的巡检中,安全工程师通过睿眼,发现了异常情况——公司的考勤管理系统被攻击者植入Webshell。

5 后门 .jpg发现后门

溯源还原过程

中睿天下立即派遣安全专家进驻客户现场还原事实真相。通过睿眼攻击溯源模块,快速对上传后门的IP进行全流量回溯,安全专家发现黑客对相关业务系统连续发起了多次攻击,攻击时间持续数小时,攻击手段包含目录扫描探测、中间件漏洞利用、SQL注入,最终通过扫描发现xx业务系统后台某上传页面存在未授权访问漏洞,黑客通过构造畸形数据包成功上传了aspx木马。

5 后门 .jpg
溯源还原攻击详情

验证并修复漏洞

中睿天下安全专家与某保险公司安全负责人通过测试,发现此0day漏洞危害较高,无需登录后台就能利用。针对全版本系统,攻击者可直接上传任意文件。对此,项目组迅速联动其他部门,有针对性地进行整改。

瞬间拥有优秀的威胁检测能力,安全so easy。

来源:freebuf.com 2019-05-21 18:59:23 by: zorelworld

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论