高鸿信安助力构建国产软件可信安全防护体系

近日,经安全人员监测,某国产办公软件漏洞(QVD-2024-11354)已在互联网上公开,攻击者可在未经身份验证的情况下,远程上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码,造成数据泄露、系统瘫痪、数据篡改等严重问题。

近日,经安全人员监测,某国产办公软件漏洞(QVD-2024-11354)已在互联网上公开,攻击者可在未经身份验证的情况下,远程上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码,造成数据泄露、系统瘫痪、数据篡改等严重问题。

据国内某安全资产测绘平台监测显示,受影响严重的省份地区分布在北京、广东、浙江、江苏、福建、山东、四川、贵州等省,关联的国内风险资产总数为7万多个,关联IP总数为8千多个。目前该漏洞已在互联网上公开,鉴于该漏洞影响范围较大,企业某国产化办公软件容易被利用,一旦发生攻击事件损失将不可估量。因此,企业应强化自身可信安全和管理的能力,最大程度的保护数字资产安全。

漏洞危害

本次远程代码执行漏洞(QVD-2024-11354)产生的原因在于系统处理上传的PHAR文件时存在缺陷,未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器,从而在目标服务器上执行任意代码。

PHAR文件全称为PHP Archive,是一种用于打包和分发PHP应用程序和库的归档文件格式。它允许开发者将所有的PHP脚本、依赖文件和元数据打包到一个单独的文件中,从而简化了PHP应用程序的部署和分发过程。当PHAR文件被PHP运行时环境加载时,它将执行反序列化过程,将PHAR文件中的压缩数据解压缩并恢复为原始的PHP文件和目录结构。反序列化过程中,PHP会读取PHAR文件的索引区,找到并执行特定的引导脚本(如“index.php”),从而启动应用程序。

攻击者可以利用该漏洞来执行恶意代码,通过输入恶意构造的指令或数据,使得系统攻击者可以执行指定的代码,从而控制整个系统。该漏洞的范围比较广,例如代码执行、PHP文件包含、反序列化、命令执行、文件读写;易造成企业及用户数字资产的损失,影响恶劣。

漏洞危害主要包括:

1.恶意提权:获得对设备的访问权并执行命令,攻击者可获得更大的权限并控制设备。

2.数据泄漏:利用漏洞,攻击者可以访问和窃取存储在设备上的数据。

3.拒绝服务:攻击者可以通过执行特定的命令来中断设备上正常业务软件的运行,从而达到破坏系统的目的。

4.勒索攻击:可以在设备上实施勒索攻击,造成数据资产损失。

防护建议

高鸿股份旗下高鸿信安“基于可信计算的主动免疫防护、可信身份验证机制”可对软件全生命周期进行可信防护,同时由可信安全管理中心进行统一管理,帮助企业打造全方位的可信安全体系。

高鸿信安助力构建国产软件可信安全防护体系

设备端防护:对用户终端、版本服务器、发布服务器、用户业务服务器进行可信计算主动免疫防护、可信身份验证机制。

可信安全管理中心:具备可信集中管控、可信身份认证、软件可信管理功能。

3.1 设备端防护

3.1.1 基于可信计算的主动免疫防护

通过可信计算的主动免疫防护,可以有效防御未认证的程序的执行,从而阻止攻击者上传到设备的恶意程序的执行,构建主动免疫的可信安全环境。

高鸿信安助力构建国产软件可信安全防护体系

1. 程序文件可信验证

程序文件可信验证功能对上游设备身份、程序文件签名信息等进行验证,仅允许认证通过的程序进行归档、发布、部署或执行。

2. 合法应用不被关闭

可信计算防护合法应用不被恶意关闭,杜绝因漏洞引起系统瘫痪问题。

3. 防数据泄露、防勒索

可信计算主动免疫机制,确保只有合法的应用程序才可执行,违法程序无法执行、无法访问受保护的资源,杜绝勒索攻击、数据泄露。

3.1.2 可信身份验证机制

可信身份包括设备标识、人员标识、设备运行状态、设备安全基线等。基于可信身份,用户终端、版本服务器、发布服务器、用户业务服务器在正常请求(接入认证、程序文件提交、上传、发布、部署)过程中由可信安全管理中心进行身份认证,通过认证结果进行管控,使攻击者无法通过身份冒用的方式进行非法操作。

高鸿信安助力构建国产软件可信安全防护体系

3.2 可信安全管理中心

3.2.1 可信集中管控

完成对可信设备进行集中管控的功能,包括可信策略集中管控、可信状态集中监控、可信告警及审计分析等功能。

3.2.2 可信身份认证

对受管控可信设备进行统一身份管理,包括基于设备标识、人员标识、设备运行状态、设备安全基线等信息的认证及管理等功能。

3.2.3 软件可信管理

对程序文件进行可信管理,包括程序文件的签名、签名信息存储统一管理等功能。

高鸿信安助力构建国产软件可信安全防护体系

总结

高鸿信安可信计算的主动免疫、可信身份验证机制、统一可信安全管理的防护可为软件全生命周期保驾护航。企业不需频繁更新病毒库,就能有效防护此类漏洞,用“以不变应万变”的方式,创建企业软件全生命周期安全可信的防护体系。

该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们

(0)
小安小安

相关推荐

  • 千方科技发布“鲲巢・双智路口”

    8月24日,千方科技应邀出席第十一届(2022)中国智能交通市场年会,面向智能网联与智慧交通等核心业务场景隆重发布“鲲巢・双智路口”,为行业提供新基建交通路口智能化改造新思路,助力智能网联与智慧交通、智慧城市协同新生态。

    2024年2月15日
  • 以创新传递优质教育资源, 用AI推动教育均衡发展 ——评测大华股份三个课堂智慧教学平台

    【安防在线 www.anfang.cn】  多年以来,大华股份坚持以视频为核心的智慧物联解決方案提供商与运营服务商战略定位,在智慧教育行业,坚定AIoT、智慧校园平台两大技术战略,…

    2024年2月18日 资讯
  • 湖北年底前实行4G动态视频监控全覆盖

    要深化交通安全大建设大排查大整治行动,年底前实现在“两客一危”重点车辆上安装4G监控系统全覆盖并强行贯标,做到对违章行车的实时监控。党的十九大即将召开,国庆、中秋“两节”在即,各地各行业领域要迅速掀起安全生产大检查高潮,以严的标准、实的举措确保安全生产形势稳定。

    2024年9月16日
  • 广西公安厅成立科技信息化委员会

    广西壮族自治区公安厅科技信息化委员会的主要职责是统一领导、组织协调全区公安科技信息化工作,制定有关政策措施;审议全区公安科技信息化工作发展战略和宏观规划;审议全区警务科学技术研发与推广战略规划;协调各部门、警种统筹推进全区公安科技信息化工作。

    2024年4月15日
  • 贵州观山湖区100多个工地实施视频监控

    记者28日从观山湖区有关部门获悉,该区近日对辖区项目在文明施工、扬尘治理方面存在的问题进行通报,对存在污染问题但又拒不整改或整改不力的,将开出停工、停牌等“重磅罚单”。

    2024年4月25日
  • 全球智慧家庭发明专利排行榜发布:海尔智家居首位

    10月19日,全球权威知识产权产业媒体IPRdaily与incoPat创新指数研究中心联合发布2020年全球智慧家庭发明专利排行榜(TOP20),该榜单显示,中国企业在智慧家庭专利领域的布局数量最多,海尔智家、华为等7家中国企业上榜;美国以6家企业上榜紧随其后。

    2024年1月27日