10月11日,针对Curl爆出的两个高危漏洞(CVE-2023- 38545、 CVE-2023-38546),安天攻防实验室对其进行分析跟进,并发布了《》。
针对这一漏洞,安天产品进行紧急升级,帮助客户及时开展漏洞排查与检测,实现有效防护。
1.1 使用安天智甲终端检测与响应系统排查建议
针对上述漏洞,安天智甲终端检测与响应系统(以下简称“智甲”)V5.0.1及其以后版本已可以实现漏洞影响范围检测,用户可以使用“事件调查”功能设置自定义调查剧本实现定位包含该漏洞的风险终端。1. 管理员登录管理中心后进入“事件调查”功能页面;2. 点击“发起调查”,在“文件调查”中分别添加两条文件调查规则,具体调查内容如下:a) 规则1:文件名称为“libcurl.dll”、文件版本为“7.69.0 -8.3.0”;b) 规则2:文件名称为“curl.exe”、文件版本为“7.69.0 -8.3.0”;4. 点击“下一步”选择需要调查的终端范围,建议用户对全网终端进行调查(注意请确保需检测终端已安装智甲客户端);
5. 调查任务完成后,可在调查任务列表中点击“查看”,即可以查看到网内风险文件数量以及分布终端,如下图:图1-2 网内包含漏洞的libcurl.dll文件总数图1-3 风险文件libcurl.dll在终端中的具体分布情况与详情6.管理员可根据智甲调查结果对包含风险文件的终端通过升级或者建立防御规则进行响应。
1.2 使用排查建议
1.点击漏洞中心中可以快速查询组件漏洞分布情况,漏洞信息和修复信息:2.通过点击任务中心-任务详情-物料清单快速了解到漏洞分布和修复建议:3.在聚类搜索中快速查找哪个任务或资产受到该漏洞影响:1.3 使用排查建议
针对无法安装、未安装或未升级终端防护产品的终端对上述漏洞的筛查工作,安天可扩展威胁检测响应平台(XDR)可以依托流量行为数据分析应用和端口暴露面,识别软件/版本/所属平台等信息,自动盘点其在内部资产的分布情况,从而有效支撑对0DAY漏洞的排查,为缓解和修复漏洞提供依据。安天可扩展威胁检测响应平台所有版本均可对curl进行识别,可通过资产中心>暴露面管理>应用软件页面内搜索“curl”查看不同软件平台下的风险资产,点击蓝色资产名称可查看资产管理员、归属机构、是否遭受攻击等信息。
2.1 使用防护建议
安天WEB应用防护系统已发布规则升级包,具备漏洞检测能力,请相关用户升级规则包至最新版,以形成安全产品检测能力。产品规则升级包版本号:【Sigdb-V2-1000-82】1. 特征数据库支持在线实时升级和离线手动升级。通过在线实时升级功能,用户的特征数据库能得到及时的更新。安天WEB应用防护系统升级到最新版本后,按照如下方法进行操作:1. 在对应特征检测策略中开启“敏感信息泄露防护”攻击类别,并将告警动作设置为“阻断”。2. 发送攻击请求,可能造成漏洞利用相关的请求被拦截。2.2 使用安天智甲终端检测与响应系统防护建议
安天智甲终端检测与响应系统(以下简称“智甲”)V5.0.3版本已具备漏洞防护能力。智甲具有网络流量检测能力,可基于主机分布式防护墙对终端的入站与出站流量进行实时检测,并可对异常和危险流量及时进行自动阻拦,防止终端遭受网络攻击。针对本次事件中,智甲对重定向字段内容进行检测,判断“Location:”后端数据是否异常超长,如果发现异常将进行告警;另外当终端发送数据请求时,也可以通过识别请求数据长度进行判定,分析请求数据是否包含超长数据,并对异常事件进行拦截。管理员登陆智甲管理中心后,可在“告警中心-威胁事件”告警中查看是否有CVE-2023- 38545或者CVE-2023-38546漏洞利用告警,并对相关告警进行分析和处置,告警示意图如下:安全产品需要及时更新升级以具备最新安全事件响应能力。我们建议安天产品客户及时升级产品并针对该漏洞开展排查与防护工作。如果您在产品升级、漏洞排查过程中出现问题,可以联系安天全国服务热线:400-840-9234,我们会及时协助您处理问题,保障您的网络与系统安全。
还没有评论,来说两句吧...