CISA事件响应实战经验：漏洞修复与应急响应关键教训

执行摘要

CISA在美国联邦民事行政部门机构检测到端点检测与响应工具生成的安全警报后启动了事件响应工作。CISA从此次事件中总结了三个关键教训：漏洞未及时修复、机构未测试或演练其事件响应计划、EDR警报未持续审查。

关键行动

• 通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防止入侵
• 通过维护、实践和更新事件响应计划来为事件做好准备
• 通过实施全面详细的日志记录并在集中式带外位置聚合日志来为事件做好准备

技术细节

威胁行为者活动

CISA发现网络威胁行为者通过利用GeoServer漏洞CVE-2024-36401获得了机构网络的访问权限。这个关键漏洞于2024年6月30日披露，允许未经身份验证的用户在受影响的GeoServer版本上获得远程代码执行能力。

攻击者活动时间线：

• 2024年7月11日：通过CVE-2024-36401获得对GeoServer 1的初始访问
• 2024年7月24日：通过相同漏洞获得对GeoServer 2的初始访问
• 攻击者横向移动到Web服务器和SQL服务器

攻击技术分析

初始访问

• 利用CVE-2024-36401获得两个GeoServer的初始访问
• 使用"eval injection"技术实现远程代码执行

持久化

• 在面向互联网的主机上使用Web Shell
• 使用cron作业和有效账户维持访问

横向移动

• 从Web服务器移动到SQL服务器
• 启用xp_cmdshell实现远程代码执行

命令与控制

• 使用Stowaway多级代理工具建立C2通道
• 使用PowerShell和bitsadmin下载有效载荷

经验教训

漏洞未及时修复

• 攻击者在漏洞披露11天后利用了第一个GeoServer
• 漏洞被添加到CISA KEV目录后仍未及时修补第二个GeoServer
• FCEB机构需在规定时间内修复KEV目录中的漏洞

事件响应计划不足

• 机构IRP没有涉及第三方协助的程序
• CISA无法获得SIEM工具的远程访问权限
• 部署EDR代理需经过变更控制委员会流程
• 长期未通过桌面演练测试IRP

安全监控缺失

• 活动在环境中保持未被检测状态达三周
• 未持续审查EDR警报
• 某些面向公众的系统缺乏端点保护

缓解措施

CISA建议组织实施以下缓解措施：

漏洞管理

• 建立包含优先级和紧急修补程序的漏洞管理计划
• 优先修补KEV目录中的已知被利用漏洞
• 通过自动化资产管理识别高风险系统

事件响应准备

• 准备书面的IRP政策和计划
• 包含授予第三方网络和安全工具访问权限的程序
• 通过紫队演练和桌面演习定期测试IRP

日志记录和监控

• 在带外集中位置实施全面详细的日志记录
• 使用SIEM解决方案进行日志聚合和管理
• 识别、警报和调查异常网络活动

指标妥协

表1提供了与此活动相关的IOC，包括C2服务器IP地址和各种工具的哈希值。组织应在采取行动前调查这些IP地址周围的活动。

MITRE ATT&CK技术映射

该咨询提供了威胁行为者活动的详细MITRE ATT&CK映射，包括：

• 侦察：漏洞扫描
• 资源开发：虚拟专用服务器
• 初始访问：利用面向公众的应用程序
• 持久化：Web Shell、计划任务、有效账户
• 命令与控制：代理、入口工具传输