近日,国家信息安全漏洞共享平台(CNVD)收录了中国民生银行股份有限公司报告的WebLogic反序列化远程命令执行漏洞(CNVD-C-2019-48814),wls9_async_response WAR包在反序列化和处理输入时存在缺陷信息。 攻击者可以通过恶意HTTP请求获取目标服务器权限,并在未经授权的情况下远程执行命令。 该漏洞被评为高风险。
虽然官方补丁尚未发布,但云锁用户无需害怕。 当前版本的云锁无需更新即可直接防御。
活动描述(图片可点击放大)
IOC(图片可点击放大)
云锁weblogic漏洞与防护原理:RASP探针模块(Runtime Application Self Protection)
RASP 探针在 ASP、PHP、Java 和其他脚本语言例程中工作。 除了监控WEB流量外,它们还可以监控WEB应用脚本行为。 与传统基于流量规则的WAF防护方式不同,RASP探针基于脚本行为(无规则)来识别和防护漏洞和攻击,可以有效防止SQL注入、任意命令执行、文件上传、任意文件读写、 Weblogic反序列化、Struts2等基于传统签名形式无法有效防护的应用漏洞是对传统WAF的有效补充,可以有效减少0day和新型恶意代码对系统造成的损害。
RASP保护能力
- SQL注入
- 命令执行
- 上传文件
- 反序列化
- 任意文件读写
- 文件包含
- Struts2漏洞
- 一字特洛伊木马
....
云锁RASP支持语言
-java
-php
- ASP
-。网
“硬核”主机安全
除了RASP探针外探针php,Cloud Lock基于内核探针、WAF探针和沙箱,可以强力抵御黑客攻击和恶意代码。
WEB攻击流量,首先通过
系统层监控和防护模块 当外部防火墙模块到达Web中间件(IIS、apache、nginx、tomcat等)时,会被WAF探针模块监控和过滤,防护规则(基于签名)可以有效防御现有用户还可以自定义防护规则来检测安全漏洞。
WEB流量将被转发到在中间件内的语言例程内运行的WEB业务脚本文件。 此时,RASP探针模块开始工作,探针会检查WEB流量并
对文件操作和数据库操作进行监控,基于非签名方式对已知和未知威胁进行监控和防护。
系统层监控防护模块也会对WEB进程的危险行为进行监控和防御。
当RASP探测模块和系统级监控保护模块检测到异常脚本行为时探针php,首先会通过基于特征库的本地WebShell引擎进行检查。 当本地引擎无法检测到时,会将脚本文件上传到私有云中心。WebShell检测沙箱会根据检测结果以及防护模块当前的工作模式进行检查和处理。 在保护模式下,WebShell 文件将被手动隔离(可恢复)。
注:WebShell Sandbox是一种基于脚本虚拟机的未签名Webshell检查技术。 工作于云中心,可有效监控一句话木马,以及加密、变形的Webshell。
安全赋能,让主机拥有原生安全
与传统借助设备堆叠的安全理念相比,云锁将防护功能模块化,赋予操作系统和应用程序针对黑客攻击和恶意代码的原生安全能力,并整合资产清单(主机、端口、应用程序版本、内核)模块、账号))、漏洞管理、基线检测、批量运维、微隔离及流程可视化、攻击溯源等强大功能,是服务器安全运维的硬核利器!
(图片可点击放大)
云锁官网:
主机安全解决方案咨询:010-65014696