Bit9報告發(fā)現(xiàn)大量“嚴重”Java漏洞
端點安全公司Bit9近日對Java及其漏洞進行了深度研究,結果發(fā)現(xiàn),近一半的企業(yè)安裝了兩個以上版本的Java。Java在企業(yè)環(huán)境非常普遍,企業(yè)通常沒有刪除舊版本,這增加了威脅攻擊面,讓這些端點很容易成為攻擊者的目標。
眾所周知,Java是“一次編寫,到處運行”的平臺,幾乎所有計算設備上都安裝了Java。很多網站和web應用需要Java才能正常運行,如果不信,你可以嘗試關閉瀏覽器中的Java,看看有多少應用無法使用。
在2012年,這個流行的平臺出現(xiàn)了很多漏洞,它成為攻擊者最常利用的技術。在Bit9剛剛發(fā)布的《Java漏洞報告:一次編寫,到處禍害》一文中向我們介紹了Java問題的嚴重程度。
Java問題很特殊
Bit9公司安全研究人員Dan Brown表示,Java經常受到抨擊,很多人都建議企業(yè)應該禁用環(huán)境中的Java。Brown表示:“但人們并沒有聽從這些人的建議而刪除Java,因為他們不認為Java與其他容易受攻擊的軟件有什么不同。但Java確實不同,攻擊者青睞Java是有原因的。”現(xiàn)在有很多不同版本的Java,你很難安裝所有補丁和更新。一般企業(yè)的網絡中都有“超過50個不同版本的Java”,但只有“不到1%的企業(yè)使用最新版本。”
根據(jù)Bit9的報告顯示,最流行的Java版本(version 6, update 20)有96個漏洞被評為“嚴重”,這是96個非常嚴重的漏洞。那這些Java安全漏洞出現(xiàn)的速度有多快呢?Brown表示:“很快。在version 7, update 21和version 7, update 25之間的幾個月間,這些到處安裝的軟件出現(xiàn)了38個嚴重漏洞。”
雖然人們一直在宣揚Java很有問題,但Bit9希望讓人們知道,Java不僅有問題,而且是非常特殊的問題。Brown表示:“人們不知道安裝Java并不會移除較舊的版本。所以,企業(yè)應該確保在升級時,不要再次安裝舊版本。這是企業(yè)端點中存在如此多Java版本的原因之一。”
端點保留較舊版本的Java究竟有什么不妥呢?“Java安全漏洞有多種形式,”Brown解釋說,“其中一種是典型的漏洞利用,允許攻擊者擺脫沙箱的束縛。在瀏覽器中運行的Java虛擬機(VM)基本上有一個隔離沙箱層。攻擊者可以找到和使用漏洞來讓Java表現(xiàn)得像是成熟的Java應用(具有所有特權和權利),而不是限制在瀏覽器沙箱中。”
另一個漏洞與甲骨文或其他公司部署的控制有關,這些公司希望警告用戶小應用正在試圖訪問較舊版本的Java。“攻擊者基本上可以讓其代碼在較舊的更易受攻擊的版本中運行,”Brown表示,“這是個困難的問題,這與企業(yè)平常對付的漏洞類型完全不同。如果每個企業(yè)可以輕按一個開關,擺脫環(huán)境中的Java漏洞,他們就可能會更安全。”
Java是一個功能強大的黑盒子
從威脅的角度來看,Java與眾不同的地方在于,它是一個強大的可行的黑盒子。當攻擊者獲取對Java VM的控制后,他們就擁有了很多功能,包括編寫腳本。
如果他們可以利用其中一個漏洞來簡單地突破沙盒,或者提升他們VM中的權限,他們下載的任何代碼都將由Java VM來執(zhí)行,并且企業(yè)的安全控制基本不知道這種行為。
“Java并不像Adobe Acrobat,Adobe Acrobat是一個固定功能程序,并不能為攻擊者提供很多軟件功能,”Brown解釋說,“對于Java,攻擊者可以根據(jù)需要使用所有Java VM的功能,并且,他們可以在Java的環(huán)境中做所有這些事情。”
通常當人們在尋找惡意軟件、惡意可執(zhí)行文件時,他們只會尋找Java.exe,我們都喜歡和信任這種可執(zhí)行文件,但是注意,它是在內部運行代碼。“內部代碼基本上可以讓Java.exe執(zhí)行各種惡意操作,”Brown表示,“它能夠提供這些功能,讓Java VM像一個黑盒子,這樣,安全控制就其無效。我不認為所有人都知道這事,這也讓Java成為很容易攻擊目標。”
企業(yè)如何能夠降低Java漏洞利用的風險?
一些企業(yè)可以從其環(huán)境中完全移除Java,而不會影響到其業(yè)務。但對于其他企業(yè)來說,在很長一段時間內,業(yè)務用例中都將需要使用Java。“企業(yè)可能沒有資源來修改他們在Java編寫的舊代碼,”Brown表示,“但你仍然需要注意這些代碼,并想辦法處理這些代碼。第一步是確定Java在你企業(yè)中的普及度,你有多少版本的Java,以及它們在哪里,并確定你可以刪除多少版本。”另一個步驟是刪除web瀏覽器中的Java,“從瀏覽器刪除Java幾乎可以消除所有攻擊面。”
如果你的業(yè)務需要使用Java,特別是需要在瀏覽器的環(huán)境中運行Java時,Bit9建議你隔離那個環(huán)境,Brown指出:“使用沙箱瀏覽器,或者VM,或者某種隔離技術來完全隔離桌面網絡中的Java。”Bit9建議,如果可以的話,企業(yè)最好刪除Java。如果你的企業(yè)必須使用Java,離了它不行的話,則應該盡可能地減少Java在企業(yè)的使用,或者進行隔離。
