638
實力親測 | 如何用雲盾WAF做漏洞急救
本文實測用雲盾WAF實現虛擬補丁。當遇到Web漏洞的時候,安全負責人和運維人員可以用來“見招拆招”啦。
憂傷的周六早晨
“雲盾.先知”的滲透測試服務到底靠不靠譜?今年8月,在公司領導的授權下,我們充值體驗了一把。答案是:先知白帽子的滲透測試水平杠杠的。周六大清早的,就給我們送來一份大禮:“遠程代碼執行漏洞”!
先知平台白帽子黑客通過平台向我們提交了一個非常嚴重的漏洞:公司某外部合作平台在用的低版本PHPWind BBS存在嚴重安全漏洞,導致外部攻擊者可直接利用漏洞執行係統命令。
漏洞信息請參考:https://www.secpulse.com/archives/44006.html。
冷靜,冷靜再冷靜
當時,團隊成員的心情可謂一波三折。首先是心已冷:“完了,被拿了shell,安全沒做好,怎麼跟老板交差……”;緊接著就是自我安慰:“畢竟是通過先知平台發現的漏洞,慶幸沒有栽在真正的黑客手裏啊!”;再後來就是:“這麼嚴重的漏洞,我們得盡快啟動漏洞響應流程進行修複處置。問題是,這大周六的,咱能叫得起開發嗎?就算修複升級也沒這麼快啊,公司發布流程走一遍也不知道是猴年馬月……”
理論上說,從漏洞被發現到實際修複為止,暴露的時間越長對公司安全越不利。萬一有攻擊者在這個時間窗口成功利用了該漏洞,後果不堪設想。
在聯係完開發人員並冷靜思考之後,我們意識到要完成這個漏洞的修複,遠沒有我們想象的那麼簡單,原因是:
- 首先這是一個PHPWind BBS的PHP漏洞(廢話)
- 公司最後一名PHP工程師已經離職,目前都是Java棧技術團隊(那上麵就不是廢話了)
- 公司論壇已經很久沒有升級,標準修複措施是升級版本
- 公司的論壇是在開源代碼基礎上進行二次開發的,無法直接使用官方升級包
- 就算係統能夠升級,標準的修複、測試、備份、發布和驗證流程根本無法實現滿足該漏洞對應的時效性要求
後背一陣冷汗,現在該怎麼辦?
借助雲盾WAF實現虛擬補丁臨時緩解漏洞
慶幸的是,該BBS早先已經接入了阿裏雲WAF保護。因此,安全團隊可以通過WAF配置相應的規則,製作虛擬補丁,臨時緩解該漏洞的影響。
我們認真地分析了該漏洞的原理和利用過程,發現:漏洞利用過程中必須請求一次特定URL才能實現,即:https://bbs.example.com/plugin.php?H_gate=vendor 。
該URL是一個供應商信息列舉的插件,即使無法使用,也不影響正常的業務。基於該URL的規則,安全團隊判定:可以通過WAF實現虛擬補丁攔截。
進入雲盾WAF配置界麵
登錄阿裏雲控製台,通過導航菜單【安全(雲盾)】|【Web應用防火牆(網絡安全)】|【域名配置】找到當前服務器的域名bbs.example.com。
配置WAF防護策略
通過點擊域名bbs.example.com作用域內的【安全開關】|【防護配置】的超鏈接,進入WAF配置界麵。
WAF產品支持多個維度的安全防護,包括:
- Web應用攻擊防護
- 惡意IP懲罰
- CC安全防護
- 大數據深度學習引擎
- 精準訪問控製
- 封禁地區
- 新智能防護引擎
- 網站防篡改
- 數據風控
- 防敏感信息泄漏
ps:流量經過Web應用防火牆時,首先依次匹配精準訪問控製中的規則、再進行CC攻擊的檢測、最後進行Web應用攻擊防護,配置各類規則時請注意內在順序。
本次虛擬補丁配置需要用到【精準訪問控製】,所以該功能務必處於開啟狀態。在該功能已經開啟的前提下,點擊超鏈接【前去配置】。
進入配置界麵,直接點擊【新增規則】,在彈出的對話框中進行URL匹配及攔截配置。針對本次漏洞利用的關鍵URL:https://bbs.example.com/plugin.php?H_gate=vendor, 為降低攔截的誤判率,設置規則如下:
- 規則名稱:Web漏洞虛擬補丁
- 匹配條件:字段URL包含plugin.php
- 匹配條件:Params包含H_gate=vendor
- 匹配動作:阻斷
填寫完規則後,點擊【確定】,完成規則配置,規則即時生效。
關鍵匹配字段說明
在配置界麵【匹配字段】後的信息圖表上懸停鼠標,係統會提示可用的匹配字段,包括:
- IP
- URL
- Referer
- User-Agent
- Params
- Cookie
- Content-Type
- X-Forwarded-For
- Content-Length
- Post-Body
各字段形象化的映射關係如下:
ps:匹配中規則後的動作有三種:阻斷、放行(可選擇後續是否繼續進行Web攻擊攔截或CC攻擊)、告警(隻記錄不阻斷)。規則之間是有先後匹配順序的,可點擊規則排序達到最優的防護效果。
驗證攔截效果
完成WAF配置後,訪問觸發漏洞的URL:https://bbs.example.com/plugin.php?H_gate=vendor ,瀏覽器直接提示訪問請求已經被阿裏雲WAF攔截,bingo!
後續
安全團隊除了通過WAF製作虛擬補丁,臨時緩解漏洞影響,實際在漏洞響應過程中之執行了如下動作:
- 對網站代碼和Web服務器進行深入安全調查
- 確保本次白帽子發現漏洞之前,該漏洞不曾被黑客利用
- 找到開發大牛,對PHP代碼漏洞進行修複並發布上線
- 增強服務器安全監控,部署阿裏雲安騎士客戶端
- 徹查公司內部同類開源項目的版本及漏洞情況
- 製定Web安全漏洞測試規範
- 重新評估網站的綜合安全性
- 將先知安全眾測列入下一階段工作計劃
- 安全從來就不是單一環節的問題,從業人員必須能夠從一個點看到多個層- 麵的問題,從而有效提升企業信息係統的整體安全行,並將安全運營帶入正軌!
總結
雲盾WAF產品總體功能強大,能夠滿足絕大多數中小企業的Web應用安全防護。本文隻是從一起漏洞應急案例介紹了:如何在極短的時間內通過阿裏雲雲盾產品Web應用防火牆WAF製作虛擬補丁,臨時緩解Web漏洞的影響。
本期分享到此為止。拋磚引玉,期待與業界同仁碰撞思想,一起成長。
原文發布時間為:2017-10-27
本文來自雲棲社區合作夥伴“阿裏雲安全”,了解相關信息可以關注“阿裏雲安全”微信公眾號
最後更新:2017-10-30 11:34:49