近日,经安全人员监测,某国产办公软件漏洞(QVD-2024-11354)已在互联网上公开,攻击者可在未经身份验证的情况下,远程上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码,造成数据泄露、系统瘫痪、数据篡改等严重问题。
据国内某安全资产测绘平台监测显示,受影响严重的省份地区分布在北京、广东、浙江、江苏、福建、山东、四川、贵州等省,关联的国内风险资产总数为7万多个,关联IP总数为8千多个。目前该漏洞已在互联网上公开,鉴于该漏洞影响范围较大,企业某国产化办公软件容易被利用,一旦发生攻击事件损失将不可估量。因此,企业应强化自身可信安全和管理的能力,最大程度的保护数字资产安全。
漏洞危害
本次远程代码执行漏洞(QVD-2024-11354)产生的原因在于系统处理上传的PHAR文件时存在缺陷,未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码。
PHAR文件全称为PHP Archive,是一种用于打包和分发PHP应用程序和库的归档文件格式。它允许开发者将所有的PHP脚本、依赖文件和元数据打包到一个单独的文件中,从而简化了PHP应用程序的部署和分发过程。当PHAR文件被PHP运行时环境加载时,它将执行反序列化过程,将PHAR文件中的压缩数据解压缩并恢复为原始的PHP文件和目录结构。反序列化过程中,PHP会读取PHAR文件的索引区,找到并执行特定的引导脚本(如“index.php”),从而启动应用程序。
攻击者可以利用该漏洞来执行恶意代码,通过输入恶意构造的指令或数据,使得系统攻击者可以执行指定的代码,从而控制整个系统。该漏洞的范围比较广,例如代码执行、PHP文件包含、反序列化、命令执行、文件读写;易造成企业及用户数字资产的损失,影响恶劣。
漏洞危害主要包括:
1.恶意提权:获得对设备的访问权并执行命令,攻击者可获得更大的权限并控制设备。
2.数据泄漏:利用漏洞,攻击者可以访问和窃取存储在设备上的数据。
3.拒绝服务:攻击者可以通过执行特定的命令来中断设备上正常业务软件的运行,从而达到破坏系统的目的。
4.勒索攻击:可以在设备上实施勒索攻击,造成数据资产损失。
防护建议
高鸿股份旗下高鸿信安“基于可信计算的主动免疫防护、可信身份验证机制”可对软件全生命周期进行可信防护,同时由可信安全管理中心进行统一管理,帮助企业打造全方位的可信安全体系。
设备端防护:对用户终端、版本服务器、发布服务器、用户业务服务器进行可信计算主动免疫防护、可信身份验证机制。
可信安全管理中心:具备可信集中管控、可信身份认证、软件可信管理功能。
3.1 设备端防护
3.1.1 基于可信计算的主动免疫防护
通过可信计算的主动免疫防护,可以有效防御未认证的程序的执行,从而阻止攻击者上传到设备的恶意程序的执行,构建主动免疫的可信安全环境。
1. 程序文件可信验证
程序文件可信验证功能对上游设备身份、程序文件签名信息等进行验证,仅允许认证通过的程序进行归档、发布、部署或执行。
2. 合法应用不被关闭
可信计算防护合法应用不被恶意关闭,杜绝因漏洞引起系统瘫痪问题。
3. 防数据泄露、防勒索
可信计算主动免疫机制,确保只有合法的应用程序才可执行,违法程序无法执行、无法访问受保护的资源,杜绝勒索攻击、数据泄露。
3.1.2 可信身份验证机制
可信身份包括设备标识、人员标识、设备运行状态、设备安全基线等。基于可信身份,用户终端、版本服务器、发布服务器、用户业务服务器在正常请求(接入认证、程序文件提交、上传、发布、部署)过程中由可信安全管理中心进行身份认证,通过认证结果进行管控,使攻击者无法通过身份冒用的方式进行非法操作。
3.2 可信安全管理中心
3.2.1 可信集中管控
完成对可信设备进行集中管控的功能,包括可信策略集中管控、可信状态集中监控、可信告警及审计分析等功能。
3.2.2 可信身份认证
对受管控可信设备进行统一身份管理,包括基于设备标识、人员标识、设备运行状态、设备安全基线等信息的认证及管理等功能。
3.2.3 软件可信管理
对程序文件进行可信管理,包括程序文件的签名、签名信息存储统一管理等功能。
总结
高鸿信安可信计算的主动免疫、可信身份验证机制、统一可信安全管理的防护可为软件全生命周期保驾护航。企业不需频繁更新病毒库,就能有效防护此类漏洞,用“以不变应万变”的方式,创建企业软件全生命周期安全可信的防护体系。
该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们。