1、往期回顾:「深蓝洞察」2024 年度最别开生面的安全新生态
2、往期回顾:「深蓝洞察」2024 年度最具含 " 金 " 量的绕过
3、往期回顾:「深蓝洞察」2024 年度最具想象空间的新应用
5、往期回顾:「深蓝洞察」2024 年度最 " 隐 " 人注目的安全趋势
7、往期回顾:「深蓝洞察」2024 年度最难以阻挡的攻防趋势
在攻防对抗日益激烈的 2024 年,安全软件一直被视为企业安全防线的重要基石。然而,这些安全软件本身也可能存在漏洞,甚至被攻击者利用作为入侵的跳板来对用户造成危害。多年来,因为安全软件而导致的事故不禁让人产生一个疑问——安全软件真的可信吗?
以下为本期《深蓝洞察 | 2024 年度安全报告》的第八篇。
安全软件被滥用为攻击工具
在当前 APT(高级持续性威胁)组织频繁活动的环境下,EDR/XDR 已成为企业安全防御体系的核心组件,负责监控数百万端点和服务器。然而,权力越大,责任也越大。这些承担重任的安全软件一旦存在安全漏洞,便可能成为攻击者手中的利器,用于部署勒索软件、窃取敏感信息,并且难以被察觉或移除。
近日,SCRT 的安全研究人员通过逆向工程与动态分析,发现 Palo Alto Networks Cortex XDR 产品中存在一个权限提升漏洞(CVE-2024-5907)。用户用受 Cortex XDR 保护的设备请求 Cortex 服务(cyserver.exe)生成日志,管理员可以使用这些日志来排除代理的潜在问题。
漏洞触发版本
CVE-2024-5907 漏洞的核心在于利用 Cortex XDR 的日志生成机制实现权限提升。攻击者通过非特权用户身份请求生成日志,触发以 SYSTEM 权限运行的 cyserver.exe 服务。该服务在处理日志生成时,会在 C:WindowsTemp 目录下创建临时文件夹,其名称遵循可预测的 tmp 模式,其中 ID 基于字典序递增,并可从历史日志文件推断,使得攻击者能够预测未来临时目录的路径。
创建临时文件夹
由于这些临时文件夹继承了 C:WindowsTemp 的宽松访问控制列表,所有用户均拥有写入权限,攻击者便可预先在预测路径下创建恶意的 NTFS Junction 软链接,将该目录重定向至高权限敏感位置,例如 C:Config.msi。具体攻击过程如下:
首先,当 cyserver.exe 服务执行临时文件清理操作时,会对临时目录进行递归删除,但其在处理 Junction 链接时,并未进行充分的路径合法性校验,直接以 SYSTEM 权限对 Junction 链接指向的目标目录执行删除操作,从而错误地删除了系统关键目录 C:Config.msi 下的文件。
其次,攻击者进一步利用 Windows Installer 服务在处理 C:Config.msi 文件夹时存在的竞争条件漏洞,通过反复触发日志生成与目录删除操作,干扰系统对 Config.msi 资源的锁定机制。
最终,在服务尝试重建该目录时,劫持文件写入流程,从而以 SYSTEM 权限执行操作,达成本地权限提升的目的。
此漏洞的成功利用高度依赖于多个竞争条件,如临时目录名称预测的准确性、软链接植入时机与文件删除操作时序的精确同步,虽然漏洞利用过程可能需要多次尝试,但这个漏洞依然危害严重。这意味着,在用户权限受限的情况下,攻击者也能如入无人之境,绕过 XDR 的层层保护,直接威胁到企业内网的敏感数据和关键基础设施,使安全软件的防护形同虚设。
一次全球性的防护软件灾难
2024 年 7 月 19 日,美国知名网络安全公司 CrowdStrike 因分发异常更新,导致全球数百万台计算机崩溃,严重影响航空、银行和媒体等行业的运作,预计在全球范围内造成数十亿美元的损失。
CrowdStrike 提供一系列安全防护软件帮助客户保护计算机抵御网络攻击,旗下的 Falcon Sensor(猎鹰传感器)产品在个人电脑 Windows 操作系统的内核层面安装传感器,用来检测和预防网络攻击,而这种高级别的防护恰恰成为造成本次事件的重要原因。当安全软件拥有内核权限之后它的防护能力大大提升,但同时风险也随之提高——一旦出现问题,对用户造成的影响异常严重。
尽管 CrowdStrike 官方宣称此事件并非安全漏洞,而是驱动程序错误,但这次事件无疑给用户敲响了警钟:纵然是顶尖的安全软件,也可能因其自身的缺陷引发难以预料的灾难。
纽约拉瓜地亚机场行李输送带软件更新错误,导致蓝屏死机事件
防线上的 " 后门 "
2024 年 Fortinet 公司旗下的 FortiManager(用于集中管理 FortiGate 设备的工具)产品中又出现了严重的 CVSS 9.8 漏洞("FortiJump" CVE-2024-47575)该漏洞是 FortiManager 和 FortiManager Cloud 中的 FortiGate 到 FortiManager ( FGFM ) 守护进程 ( fgfmsd ) 中缺少的身份验证漏洞。
利用 FortiJump 漏洞,未经身份验证的远程攻击者可以使用有效的 FortiGate 证书在 FortiManager 中注册未授权的设备,攻击者可通过特制请求执行任意代码或命令。
Fortinet 官方公告中也承认:"FortiManager fgfmd 守护进程存在一个严重的功能认证缺失漏洞,可能允许远程未认证的攻击者通过特制请求执行任意代码或命令。" 根据 Mandiant 的一份最新报告显示,FortiJump 漏洞自 2024 年 6 月以来,已在 0Day 攻击中被广泛利用,涉及不同行业的 50 多台可能被入侵的 FortiManager 设备。
这并不是 Fortinet 公司的产品第一次出现漏洞,在此之前 Fortinet FortiOS 目录遍历漏洞 ( CVE-2018-13379 ) 、Fortinet 防火墙身份认证绕过漏洞(CVE-2022-40684)、Fortinet FortiGate SSL VPN 存在格式化字符串漏洞(CVE-2024-23113)等漏洞。这次的 FortiJump 漏洞再次让人思考,安全软件真的安全吗?
安全软件的脆弱性
安全软件的漏洞屡见不鲜,这不仅是技术层面的偶发问题,更是一种持久存在的安全挑战。在攻防技术螺旋上升的趋势下,厂商虽致力于对安全产品进行更新与优化,但攻击者的漏洞挖掘也从未停止。以下这些漏洞不仅体现了安全产品在技术复杂性上的脆弱性,也反映出攻防对抗的长期性和动态性的现实:
2015 年,有史以来唯一获得 100 次 VB100 的产品 ESET NOD32 中的存档支持模块中的基于堆的缓冲区溢出允许远程攻击者通过大量语言在类型为 SIS_FILE_MULTILANG 的 EPOC 安装文件中执行任意代码。(CVE-2015-8841)
2017 年,俄罗斯的一家拥有 25 年以上安全行业经验的公司—— Kaspersky,其用于保护嵌入式系统安全的产品 Kaspersky Embedded Systems Security ( KESS ) 被发现了一个内存破坏类型的缺陷,攻击者可以利用其中一个驱动程序实现本地权限提升。(CVE-2017-12823)
2021 年,McAfee Agent for Windows 的 maconfig 中存在权限管理不当漏洞,允许本地用户访问敏感信息。该程序可由低权限用户在文件系统上的任何位置运行。(CVE-2021-31836)
2025 年初,Ivanti 公司的 Connect Secure 产品存在堆栈缓冲区溢出问题,允许远程未经身份验证的攻击者实现远程代码执行。(CVE-2025-0282)
历史上曾经出现过漏洞的部分安全软件厂商
安全防护软件为实现更好的防护效果深入操作系统底层,拥有系统权限。然而,这种高权限的安全软件一旦被攻破,攻击者即可利用其权限执行任意操作。
这些安全事件并非孤立个案,而是引出了一个深层次的问题:为何作为防御核心的安全软件,反而频频成为攻击者的突破口?
随着技术的不断发展,安全防护逐渐从单点防御转向多层次、多维度的综合体系,但这也必然导致安全软件复杂度的增加。安全软件作为防御体系的重要一环,其本身的安全性直接关系着整个系统的安全性,未来安全软件的发展需要在功能性与安全性之间实现更好的平衡。
深蓝洞察
作为安全防护的工具,这些安全软件原本是为抵御威胁而设计,但在复杂多变的网络环境中,它们却可能反过来成为攻击者的突破口。从历史漏洞到新挖掘的漏洞利用,无不反映出攻防对抗螺旋上升的动态现实。
这一现象不仅揭示了安全软件在特定情况下的脆弱性,也表明这绝非一时之患,而是一个贯穿整个行业的持久挑战,提醒我们必须以更全面、更深入的视角重新审视网络安全的防御策略。
参 考:
[ 1 ] https://blog.scrt.ch/2024/12/05/attacking-cortex-xdr-from-an-unprivileged-user-perspective/
[ 2 ] https://zh.wikipedia.org/wiki/2024 年 CrowdStrike 大规模蓝屏事件
[ 3 ] https://www.anquanke.com/post/id/301285
[ 4 ] https://security.paloaltonetworks.com/CVE-2024-5907
[ 5 ] https://www.fortiguard.com/psirt/FG-IR-24-423
明日,请继续关注《深蓝洞察 | 2024 年度安全报告》第九篇。
登录后才可以发布评论哦
打开小程序可以发布评论哦