从乌云看运维安全那点事儿
0x00 背景
运维安全属于企业安全非常重要的一环。
这个环节出现问题,往往会导致非常严重的后果。
本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点。
希望各位看完之后能够有所收获~!
目前已经总结的问题有:
struts漏洞Web服务器未及时打补丁,有解析漏洞 PHP-CGI RCE FCK编辑器 server-status信息泄露网站备份文件放在web目录,可被下载列目录导致可看到敏感数据并查看 snmp信息泄露 weblogic弱口令 SVN信息泄露域传送漏洞Rsync hadoop对外 nagios信息泄露 ftp弱口令或支持匿名访问导致信息泄露 RTX泄露信息Ganglia信息泄露 j2ee应用架构开始占主流,典型的web服务器搭配配置失误Jenkins平台没有设置登录验证 zabbix Resin文件读取 memcache未限制访问IP JBoss问题测试服务器外网可访问 padding oracle attack 用户名密码放在服务器上……其他
0x01 现状
1、使用开源或商业产品出现漏洞时,未及时打补丁
struts漏洞
乌云上最火的莫过于struts的漏洞了,各大互联网厂商都未幸免。
http://www.wooyun.org/searchbug.php?q=struts
由于struts太多就不列举了~!
Web服务器未及时打补丁,有解析漏洞
关于解析漏洞的总结,有一篇比较详细的文章
这类漏洞的危害还是非常大的,只要用户可控一个文件。
不管后缀,上传到服务器web目录下,即可控制服务器。
下面只列举了一乌云上小部分的解析漏洞:
WooYun: tom在线某分站nginx解析漏洞配合上传可webshell
PHP-CGI RCE
php cgi远程任意代码执行漏洞。
这个CVE的讨论详见:http://zone.wooyun.org/content/151
这种配置很少会出现,所以以为不会产生太大影响,但是……
WooYun: 某IDC存在PHP-CGI漏洞,可导致数万网站被黑
WooYun: 多家单位深信服SSL VPN远程代码执行漏洞(补丁不及时)
FCK编辑器
老版本有上传漏洞,可上传webshell。
WooYun: 广东东莞整个xxxxxxx.dg.gov.cn整个段的WEB,shell
2、信息泄露
server-status信息泄露
Apache设置不严,暴露server-status
Apache Server Status的配置:
http://www.ccvita.com/333.html
如果这个页面对公网开放,就会存在一些安全隐患。
例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。
WooYun: apache官网存在由于apache配置不当引起的轻度信息泄漏
网站备份文件放在web目录,可被下载
这类问题会导致源代码泄露,可能会导致进一步渗透。
WooYun: 新浪Show旧版数据未清除,泄露20多个数据库..等敏感信息
WooYun: OPPO用户中心源码泄露后的噩梦 600W用户敏感信息&明文密码
列目录导致可看到敏感数据并查看
列目录的问题说大不大,说小不小,具体还是看具体的场景了。
WooYun: [大型互联网系列之四]搜狗某站点开发人员安全意识不足,泄漏数据库配置文件
WooYun: 广东移动目录浏览漏洞,可查看用户发送彩信内容和图片
WooYun: 新网某服务器配置不严格,导致大量用户身份证及企业营业执照信息泄露
WooYun: 杭州电信某系统目录暴露,导致30000余宽带帐号等敏感信息全暴!
snmp信息泄露
这个具体可以看如下链接,分析与例子都列举出了:
http://drops.wooyun.org/tips/409
weblogic弱口令
这个具体可以看如下链接,分析与例子都列举出了:
http://drops.wooyun.org/tips/402
SVN信息泄露
这个具体可以看如下链接,分析与例子都列举出了:
http://drops.wooyun.org/tips/352
域传送漏洞
这个具体可以看如下链接,分析与例子都列举出了:
http://drops.wooyun.org/papers/64
Rsync
这个具体可以看如下链接,分析与例子都列举出了:
http://drops.wooyun.org/papers/161
hadoop对外
WooYun: 新浪漏洞系列第六弹-大量hadoop应用对外访问
hadoop有的版本可配合此漏洞来执行命令:
nagios信息泄露
WooYun: 新浪漏洞系列第五弹-sina nagios信息泄露漏洞
ftp弱口令或支持匿名访问导致信息泄露
WooYun: TOM在线几十G的网站源文件暴露,重不重要啊?
WooYun: 盛大在线某应用mysql数据库架构及几十G的备份数据暴露,也不知道要不要紧?
WooYun: 新浪某服务器FTP弱口令导致部分几个主站的源代码泄露
WooYun: 中国联通分站匿名FTP目录遍历,泄露数据库、WEB配置文件
WooYun: 中国移动各地暴露黄色预警,其中重庆、贵阳等系统暴露较为严重,局部地区暴露也不容忽视
使用lampp套装,使用其默认ftp密码
nobody:lampp
WooYun: 庆光棍佳节到临——华为某服务配置不到导致shell1
RTX泄露信息
WooYun: 唯品会某应用接口信息暴露,容易被敌人打入内部!
Ganglia信息泄露
WooYun: 陌陌ganglia集群系统监视软件泄露系统信息
j2ee应用架构开始占主流,典型的web服务器搭配配置失误
WEB-INF目录可web访问:
WooYun: 去哪儿任意文件读取(基本可重构该系统原工程)
WooYun: 乐视网众多web容器配置失误,导致核心应用架构及敏感信息暴露
WooYun: [大型互联网系列之七]优酷某站点配置不当,可获取敏感信息!
Jenkins平台没有设置登录验证
利用方式:
http://ip/script
执行脚本并回显其实可以直接一句话就搞定
java.lang.Runtime.getRuntime().exec('id').getText();
zabbix
admin/zabbix 默认账户密码能登录
WooYun: memcached未作IP限制导致缓存数据可被攻击者控制
WooYun: 网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)
Resin文件读取
Resin v3.0.19以及以上的不受影响,以下的受影响。
WooYun: [大型互联网系列之五]搜狐某分站任意文件读取+一些敏感信息
WooYun: 百合网从Resin文件读取到webshell
memcache未限制访问IP
WooYun: memcached未作IP限制导致缓存数据可被攻击者控制
WooYun: "逛"网memcached未作IP限制造成cache泄露
JBoss问题
JBoss问题可以来此看看:
http://drops.wooyun.org/papers/178
具体实例:
WooYun: 中国电信网上营业厅某分站 JBoss配置不当造成远程代码执行
测试服务器外网可访问
WooYun: DOSPY测试服务器信息泄漏,可能导致主站被入侵.
padding oracle attack
WooYun: 唯品会某处存在文件读取漏洞(padding oracle实际利用)
用户名密码放在服务器上……
其他
还有各种tomcat,phpmyadmin弱口令等,均可能成为突破点。
WooYun: Cisco网络设备低版本IOS未授权访问并可以提权
WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网
WooYun: Oracle-Sun公司oracle默认口令导致主机沦陷
WooYun: 起点中文网MongoDB配置错误导致账户密码泄漏
各种敏感管理后台对外:
WooYun: forum.open.weibo.com用户数据库泄露
WooYun: [大型互联网系列之一]百度某后台访问未限制,泄漏业务信息!
WooYun: [大型互联网系列之二]人人网某站点泄露大量员工信息,包括员工电话以及业务信息
WooYun: [大型互联网系列之六]网易某服务后台泄漏,造成可任意删除分类信息、添加敏感词。
WooYun: 中国电信某系统功能暴露,导致690000余宽带帐号等信息暴露!
0x02 后续
最后引用zone社区某人的话:
“渗透一定意义上是人与人的较量,所以呢,如果你现在月薪5000那么去黑掉一个大家伙的时候应该从月薪2000的地方入手,譬如前台,运营,客服,hr,公关之类的为佳,找程序的入口也应该找实习生开发的,找外包的......请谨慎想象。”
运维安全一点一滴积累起来的,千万不可大意~!
千里之堤毁于蚁穴~!
本文“从乌云看运维安全那点事儿”,来自:Nuclear'Atk 网络安全研究中心,本文地址:http://lcx.cc/?i=3805,转载请注明作者及出处!
