文档首页/ 安全云脑 SecMaster/ 最佳实践/ 安全云脑护网/重保最佳实践/ 步骤三:安全自查与整改/ 漏洞管理
更新时间:2024-10-24 GMT+08:00
查看PDF
分享

漏洞管理

漏洞是攻击者入侵企业系统的主要手段之一,攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性,预防潜在的攻击。

安全云脑提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞进行管理。

  • Linux漏洞:内含常见Linux系统以及组件的各类漏洞,如内核漏洞、组件漏洞等。
  • Windows漏洞:内含Windows系统最新漏洞以及补丁。
  • Web-CMS漏洞:内含常见web-cms框架漏洞信息,如phpmyadmin等。
  • 应用漏洞:内含常见应用类型漏洞,如fastjson、log4j2等。

修复说明

  • Linux、Windows漏洞
    • 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞,HSS漏洞库支持扫描该漏洞,如果使用HSS扫描时发现该漏洞,请优先排查修复。
      • Linux DirtyPipe权限提升漏洞(CVE-2022-0847)
    • 如果漏洞影响的软件未启动或启动后无对外开放端口,则实际风险较低,可滞后修复。
  • 应用漏洞
    • HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。
    • 如果Web服务器的应用漏洞无法修复,您可以通过配置安全组规则,限制只可内网访问,或使用WAF防护(只能降低风险,通过内网渗透或规则绕过依然有被入侵的风险)。
    • 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞,HSS漏洞库支持扫描这些漏洞,如果使用HSS扫描时发现这些漏洞,请优先排查修复。
      • nginxWebUI远程命令执行漏洞
      • Nacos反序列化漏洞
      • Apache RocketMQ命令注入漏洞(CVE-2023-33246)
      • Apache Kafka远程代码执行漏洞(CVE-2023-25194)
      • Weblogic远程代码执行漏洞(CVE-2023-21839)
      • Atlassian Bitbucker Data Center远程代码执行漏洞(CVE-2022-26133)
      • Apache CouchDB远程代码执行漏洞(CVE-2022-24706)
      • F5 BIG-IP命令执行漏洞(CVE-2022-1388)
      • Fastjson 1.2.8反序列化漏洞(CVE-2022-25845)
      • Atlasssian Confluence OGNL注入漏洞(CVE-2022-26134)
      • Apache Log4j2远程代码执行漏洞(CVE-2021-44228)

前提条件

请确保修复漏洞时,您的业务处于低峰期或特定的变更时间窗。

修复漏洞操作步骤

  1. 登录安全云脑控制台,并进入目标工作空间管理页面。
  2. 在安全云脑管理页面选择风险预防 > 漏洞管理,进入漏洞管理页面。

    图1 进入漏洞管理页面

  3. 筛选“等级”“高危”“是否已处理”“未处理”的Linux漏洞、Windows漏洞和应用漏洞,优先进行修复。

    在进行漏洞修复前,需提前和您的业务相关人员确认漏洞修复是否会对业务造成影响。

    图2 筛选漏洞

  4. 修复漏洞。

    • 修复Linux、Windows漏洞

      单击目标漏洞名称,在右侧弹出漏洞信息页面中,选择“受影响资产”页签,并在资产列表中,单击待处理资产所在行“操作”列的“修复”,系统提示修复操作触发成功。

      执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云服务器备份(CSBS)为ECS创建备份,详细操作请参见创建云服务器备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。

    • 修复Web-CMS漏洞、应用漏洞

      单击目标漏洞名称,在右侧弹出漏洞信息页面中,查看修复建议,并根据修复建议按照如下步骤,对“受影响资产”进行修复:

      图3 查看漏洞修复建议
      1. 登录漏洞影响的主机,手动修复漏洞。

        漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:

        • 方案一:创建新的虚拟机执行漏洞修复
          1. 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像
          2. 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器
          3. 在新启动的主机上执行漏洞修复并验证修复结果。
          4. 确认修复完成之后将业务切换到新主机。
          5. 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
        • 方案二:在当前主机执行修复
          1. 为需要修复漏洞的ECS主机创建备份,详细操作请参见创建云服务器备份
          2. 在当前主机上直接进行漏洞修复。
          3. 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态,详细操作请参见使用备份恢复服务器
        • 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
        • 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。

相关文档