网络安全观察恶意流量观察

恶意流量观察

Web 威胁

5.3.1.1 Web 攻击态势
Web 站点作为企业或个人对外提供的服务，往往是黑客首选的攻击目标。2019 年，针对 Web 的攻 击态势中，传统攻击模式和攻击方法仍占主流，如服务器
信息泄露、资源盗链、CORS攻击、SQL 注入 攻击、Cookie 篡改等，此类常规攻击手段占到总攻击的 89% 左右，仍需持续关注。
服务器信息泄露 资源盗链 HTTP访问控制
事件 SQL注入攻击Cookie篡改 Web插件漏洞攻击 命令注入攻击 跨站攻击
Web服务器漏洞攻击
路径穿越攻击 其他
26.20%
13.20% 11.82%
10.21%
6.93%
5.59% 5.31%
4.86% 4.32%
3.45%
8.09%

图 5.4 针对 Web 攻击的攻击类型分布
2019 年 Web 框架 / 中间件
受攻击态势与 2018 年相对平稳，值得一提的是针对 ThinkPHP 框架的 攻击显著增加，原因是在 2019 年 ThinkPHP 框架爆发了多个漏洞，并且涉及主流的 3.x 和 5.x 版本， 在国内影响广泛。Apache Struts2 尽管在今年并没有新增高危漏洞，但由于其历史漏洞较多，受到的 攻击依然居高不下，已连续 3 年排在受攻击榜第一位。针对 Apache Tomcat、Microsoft IIS、Oracle WebLogic Server 等主流 Web 中间件的攻击热度不减，大型中间件的用户基数大、部署应用多，相关脆 弱性受到黑客的持续关注。单位: 万次 0 100 200 300 400 500 600 700 800
Struts2 ThinkPHP Tomcat
IIS WebLogic
Joomla Spring
WordPress ColdFusion
JBoss
图 5.5 针对 Web 框架 / 中间件的攻击 TOP10

5.3.1.2 Web 漏洞利用
反序列化漏洞依然是 Web 攻击的重灾区，流行框架的安全性
仍需加强关注。 2019 年，Web 方面影响较大的漏洞有如下几个：（1）WebLogic
Oracle 官方在 2017 年修复了 WebLogic Server 的 XMLDecoder 漏洞（CVE-2017-10352），该补 丁在 2019 年被两次绕过，分别对应漏洞编号 CVE-2019-2725 和 CVE-2019-2729，由此引发新一轮针 对 WebLogic 的攻击。这两个漏洞触发点在 WebLogic 自带组件上，并且均不需要身份认证，攻击者只 需精心构造 soap 格式的 XML数据，通过 HTTP 请求即可触发，攻击门槛极低，因此备受黑产团伙青 睐。从统计数据来看，在 4 月份 Oracle 官方发布安全更新后，CVE-2019-2725 的 PoC 随之公开，针对 WebLogic 的攻击出现非常明显的增幅，研究者进而发现安全补丁存在绕过（CVE-2019-2729），官方 修补措施并未生效，于是攻击趋势在 5 月份达到峰值。
160000 140000 120000 100000
80000 60000 40000 20000

1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月
图 5.6 2019 年度 WebLogic 受攻击情况
（2）Json 框架
2019 年在 Java 第三方 Json 库中频频出现漏洞，由于大多数 JavaWeb 应用都会采用高效的第三方 json 库来解析 json 数据，而在应用运行过程中往往会忽略库版本的升级，因此第三方库的安全性需要 格外关注。

1）fastjson 是阿里巴巴的开源 JSON 解析库，由于具有执行效率高的特点，应用范围非常广泛。
从 2017 年起，fastjson 就多次修复由于不可信的反序列化带来的安全问题，而相关的修复补丁 也在被不断地绕过，在 2019 年度 fastjson 就新增了 36 个黑名单来防止不安全的反序列化，修 补与绕过的对抗在不断升级。用户应该及时关注官方安全通告，并且严格控制 AutoType 开关， 保持其为关闭状态。
2.）Jackson 库也出现相同的问题，同样对用户输入缺少严格的控制，导致可以被恶意解析相关类
造成任意代码执行。在 2019 年度 Jackson 新增 6 个黑名单类来进行防护，用户应及时更新到 最新版本来防范此类攻击。
（3）其他方面
1） ThinkPHP 5.x 版本被曝出无需身份认证的远程代码执行漏洞，在国内影响非常广泛，相当部分
的站点被黑客攻击并被植入恶意程序，包括挖矿脚本 / 恶意木马程序等。
加拿大
英国
0%
1% 法国 日本
0% 1%
中国香港
1%
未知
1% 中国 中国香港 韩国 美国 日本
2% 中国 印度 英国 印度 74% 韩国 加拿大 6% 美国 未知 法国
14%
图 5.7 攻击 IP 所属地域分布 TOP10
对于 ThinkPHP 的攻击者有四分之三来自于国内，这与 ThinkPHP 框架本身在国内更热门有关，而 国内攻击 IP 中，来自北京、山东、上海、江苏和浙江的攻击者最为活跃

32

单位: 万次 0 2 4 6 8 10 12 14 16 18 20
北京 山东 上海
江苏
浙江 境内
宁夏 广东 福建 安徽 湖北
图 5.8 国内攻击 IP 所属城市分布 TOP10 受害者方面，接近半数的受害者来自北京，其次是上海、福建、江苏、广东等省份
北京 广东 3%
上海 河南 48%
6% 福建 宁夏 江苏 山东
7%
8%
9%
图 5.9 国内受害者 IP 省份分布

2） Jenkins 作为最受欢迎的持续集成应用，在
漏洞，此后 Jenkins 默认安装的流行插件 更新一直持续到 2019 年 11 月份。Jenkins 其插件的安全问题。
2018 年末披露了一个无需身份认证的远程代码执行 Script Security 多次出现沙箱绕过的问题，相关安全
在内网使用广泛，管理员需要多加关注 Jenkins 及
3） Apache Solr 产品在 2019 年披露 5 个高危漏洞，包括反序列化、命令执行、拒绝服务、模板注
入等类型。Solr 作为内网使用广泛的索引和搜索集成应用，需要多加关注其安全性。
4） 传统 OA办公系统再度引起关注。泛微 OA、致远 OA、通达 OA均被披露高危漏洞，在渗透测
试中被广泛利用，传统办公系统的安全性仍不容忽视。
总结：在 2019 年披露了多个无需身份认证的远程代码执行漏洞，如 WebLogic XMLDecoder 反序 列化漏洞、ThinkPHP 远程代码执行漏洞、Apache Solr 远程代码执行漏洞、Atlassian Jira 模板注入漏洞等， 此类漏洞最受黑客团伙青睐，利用代码在短时间内被集成进成熟的攻击框架或木马程序中，进一步降低 了漏洞利用的门槛，而从漏洞 PoC 公布到被攻击者大规模利用的时间窗口也在进一步缩短，给安全厂 商防护能力带来了更大的挑战。

参考资料

绿盟 2019年网络安全观察

友情链接