前几天朋友圈传的最火的事莫过于某厂商的EDR产品RCE漏洞的问题了。每次网上曝出类似的消息,总会有一些客户比较紧张,询问我相关的问题,所以,今天我们来聊一聊漏洞的事。
漏洞,应该是一个最常见的问题,在网上随手一搜就能搜到很多。
在国家信息漏洞共享平台(https://www.cnvd.org.cn)上,你可以看到很多产品的漏洞信息。不仅有国内产品,还有很多国际知名厂商的产品,包括IBM、CITRIX等,目录收录的漏洞信息有14万多条了。
下面我们就来聊一聊关于漏洞的话题。
本文共4500字,分为以下几个部分:
为什么会有漏洞?
漏洞中常见的几个概念
漏洞等于风险吗?
如何看待漏洞
有漏洞了我该怎么办?
关于漏洞的法律要求。
(1)为什么会有漏洞
不管是操作系统还是应用程序,都是人写的,人写的代码就一定会存在问题,要么是编程人员人为留下的后门,要么是受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,而这些不足或者错误之处,轻则影响程序效率,重则导致非授权用户的权限提升,或者导致不法分子远程执行某些指令。
这些程序本身的不足或错误,就叫程序的漏洞。
当然,管理上的不足或错误也是漏洞。
(2)漏洞相关的常见概念
0day:
在漏洞中最常听到的一个词叫0day漏洞,这也是危害最大的一种漏洞,那么什么是0day漏洞呢?
简单来讲,0day漏洞是指新发现的,还没有补丁的漏洞。
0day时间表如下:
一个人或一个公司编写了一个软件(操作系统或者应用程序),其中包含一个漏洞(这是肯定会有的),但涉及编程或发行的人员却不知道(废话,知道了那就是故意留的,就是后门了)。
在开发人员有机会定位或解决问题之前,有人(黑客或者白帽,反正不是作者本人)发现了漏洞(不要问我为什么会发现,有很多对这事感兴趣的人)。
发现该漏洞的人会创建代码来证明(PoC)或利用(EXP)该漏洞(利用漏洞干啥?自己想)。
该漏洞被曝光。
作者或公司收到该漏洞信息。
补丁发布修复该漏洞,该漏洞不再被视为0day。
之所以说它危害最大是因为这种漏洞没有补丁,所以用户会有一种无力感,眼睁睁着着自己的系统门户大开却又无能为力。
那么利用0day漏洞发起的攻击 就被称为0day攻击 。
RCE:
在这次曝光的0DAY漏洞中还提到一个词叫RCE,这是什么意思呢?
RCE指的是remote command/code execute,远程命令(代码)执行。可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。
举个简单的例子:
一些路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。
你这这里输入IP地址,后台就会执行一条PING命令对PING这个地址。正常情况下,大家都会比较乖的在这里输入IP地址,如192.168.0.1,但是,总会有一些调皮的同学在这里输入一些其他的内容,比如输入:192.168.0.1 & netsata -a ,如果程序作者没在这里对输入的内容做检查,那么后台就会执行以下语句:
ping 192.168.0.1 & netstat -a
相当于在执行完PING命令之后又执行了一个netstat命令,如果输入的是其他恶意的命令呢??
除了RCE漏洞之外,还有最常见的缓冲区漏洞、SQL注入漏洞、XSS跨站脚本漏洞、文件上传漏洞等,就不在这里一一介绍了,大家有兴趣的可以自行百度。
PoC:
另外一个我们需要知道的概念叫PoC。
PoC:(Proof of Concept)漏洞证明,一般就是个样本用来证明和复现漏洞。有了PoC,其他人就可以证明或者复现这个漏洞的存在,说明这个漏洞是可以被利用和攻击的。如果没有,那么这个漏洞被利用的可能性就不是太大。
