CCERT月报:防范针对HTTP/2协议的拒绝服务攻击

发布者:lijunhua发布时间:2024-01-22浏览次数:10

2023年10月教育网运行正常,未发现影响严重的安全事件。近期各类安全投诉事件数量整体呈低位态势。
 
  在病毒与木马方面,2023年9月修复的WinRAR远程代码执行漏洞(CVE-2023-40477)正在被多种恶意软件利用来进行自身传播,这些恶意软件通常都会伪装成破解软件等引诱用户下载。

2023年9月-10月CCERT安全投诉事件统计
 
  近期新增严重漏洞评述
 
  01
 
  微软2023年10月的例行安全更新共包含微软产品的安全漏洞103个。这些漏洞按等级分类包含13个严重等级、90个重要等级;按漏洞类型分类包括权限提升漏洞27个、远程代码执行漏洞44个、信息泄露漏洞12个、安全功能绕过漏洞3个、拒绝服务漏洞16个、XSS漏洞1个。这些漏洞中需要特别关注的有以下几个。
 
  WordPad信息泄露漏洞(CVE-2023-36563)。允许远程攻击者获取本地合法用户的NTLM哈希值(攻击者需要能够远程登录系统并引诱被攻击者执行相应的攻击程序)。目前该漏洞已存在在野的攻击,厂商已针对该漏洞发布了补丁程序,并计划在Win11系统中弃用NTLM认证协议,改用更为安全的Kerberos认证协议。
 
  Skype for Business权限提升漏洞(CVE-2023-41763)。允许远程攻击者向Skype for Business服务发送特制请求调用,进而使得Skype for Business向任意地址发送http请求。目前该漏洞已发现在野的攻击行为,厂商已针对该漏洞发布了补丁程序。
 
  Windows消息队列远程代码执行漏洞(CVE-2023-35349)。允许未经身份认证的攻击者将特制的恶意MSMQ数据包发送到MSMQ服务器,这可能会导致在服务器端远程执行代码。不过要利用此漏洞,系统必须启用消息队列服务,用户可以通过查看是否有一个名为Message Queuing的服务正在运行,以及机器上的TCP端口1801是否正在监听,来确认是否受漏洞影响。
 
  02
 
  HTTP/2协议中存在一个快速重置攻击漏洞(CVE-2023-44487),该漏洞允许恶意攻击者发起针对Web服务器的DDoS攻击。由于该漏洞存在于HTTP/2协议中,目前所有支持该协议的Web服务程序都可能受到此类拒绝服务攻击。从已检测到的数据看,此类新型的拒绝服务攻击方式已在互联网上大量发生。目前各Web服务程序的提供方已陆续针对该漏洞发布补丁程序,建议管理员关注相关程序更新并尽快升级。
 
  03
 
  Curl是一个常用的网络数据传输组件,它包含Curl工具和Libcurl库,Libcurl库被很多其他应用使用。近期Curl官方发布了安全更新,用于修补Curl工具和Libcurl库中的两个安全漏洞,分别是SOCKS5堆缓冲区溢出漏洞(CVE-2023-38545)和Cookie注入漏洞(CVE-2023-38546)。由于漏洞影响的范围较广,建议用户尽快进行升级。
 
  04
 
  F5厂商在第4季度的安全通告中披露其BIG-IP产品中的一个严重安全漏洞(CVE-2023-46747)。该漏洞存在于产品配置实用程序组件中,可能允许未经身份验证的攻击者通过管理端口或自身IP地址访问BIG-IP系统,以管理员的身份在系统中执行任意系统命令。该漏洞不会直接影响到BIG-IP承载的业务数据,但是可以让攻击者完全控制BIG-IP设备。目前厂商已经针对相关漏洞发布了补丁程序,建议使用了该产品的用户快进行升级。
 
  05
 
  近期VMWare发布了紧急修补程序,用于修补其vCenter Server中的一个越界写入漏洞(CVE-2023-34048)。该漏洞存在于vCenterServer对DCERPC协议的实现过程中,一个具有网络访问权限的恶意攻击者可以触发一个越界写入,进而导致远程任意代码执行。目前厂商已经针对该漏洞发布了补丁程序,由于漏洞没有可用的临时缓解措施,建议管理员尽快对vCenterServer进行升级。
 
  安全提示
 
  为防范针对HTTP/2协议的拒绝服务攻击,用户可以采取以下措施:
 
  1.尽快升级所使用的Web服务程序到最新版本;
 
  2.对Web服务器的流量进行监测分析,并使用防火墙来阻断那些对Web服务器发起异常连接的IP;
 
  3.启用WAF或IPS的速率限制功能,降低Web服务器的负担;
 
  4.配置Web服务,限制客户端的最大连接数。