01 案例概述
本文源于微信公众号"深见研究实验室",详述了攻击者通过对供应链进行攻击,攻击者先锁定了目标公司的信息系统供应商。接着,他们对供应商的外部网络资产进行了深入调查,并通过找到的.git信息泄漏利用该漏洞访问站点源代码和云服务的访问密钥。随后,攻击者获得了供应商的云服务器权限;之后,他们利用从配置文件中得到的密码列表进行网络扫描和密码攻击,成功侵入了一台存有目标系统源码的测试服务器。通过审查源码和操作鉴权系统,攻击者伪造了管理员权限,不仅访问了目标企业的敏感数据,还获得了对这些数据进行修改和删除的能力。
02 攻击路径
从攻击者视角了解攻击的全过程,以下为攻击过程:
(1)明确供应单位:攻击者对目标企业的外网资产攻击失败后,转变思路通过招投标网站确认某系统为由某供应商开发。于是攻击者制定新策略,通过攻击供应商以获取目标企业权限。
(2)控制供应单位:攻击者对该供应商的外网资产进行信息收集,发现其子域名下存在.git信息泄露漏洞,进而获取源码,发现了供应商的公有云AK、SK,利用这些凭证控制了云主机。
(3)攻破目标系统:攻击者通过获取供应链云主机内配置信息,制作密码字典对供应商内部网络进行攻击,成功爆破一含源码的测试机。审计源码后发现可伪造管理员权限,进而攻破目标企业信息系统,获取企业大量敏感数据。
03 防方思路
站在防守单位的角度需吸取本案例的经验教训:
(1)加强供应链管理:在与供应商签订合同时,明确规定供应商必须遵守的安全标准和实践,以及定期提供安全合规报告。包括安全事件响应条款等,确保在发生安全事件时供应商能够迅速有效地响应。
(2)强化密码管理:强化账户管理,避免使用弱口令,如“admin”或12345等。强制使用复杂密码,包括字母、数字和特殊字符的组合,并定期更换密码。实施多因素认证(MFA),增加额外的安全层来保护账户。
(3)完善鉴权机制:确保所有系统和接口都经过严格的身份验证,避免未经授权的访问。定期审查和更新用户权限,确保只有必要的人员拥有访问权限,并及时移除不再需要访问的权限。
597
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
