外部网络风险及修复方案

在2025年上半年，CIS红队和网络威胁情报团队对多州信息共享与分析中心成员组织进行了外部网络扫描，发现了大量高风险漏洞和不安全的软件配置。这些问题大部分源于加密故障，这是OWASP 2025年十大Web应用安全风险中排名第二的风险。其中最严重的问题与传输层安全协议和安全套接字层实现相关。这些弱点破坏了加密通信，使系统面临潜在利用风险。

观察到的五个最普遍和最严重的TLS/SSL相关问题包括：

• 生命周期终止的TLS/SSL版本
• 弱加密密码
• 弱密钥交换机制
• 配置错误的SSL证书
• 已知高风险TLS/SSL漏洞

1. 生命周期终止的TLS/SSL版本

生命周期终止产品不再受开发人员支持或更新。这意味着在这些产品中发现的任何漏洞都将保持未修补状态，使系统暴露。一个常见例子是继续使用过时的TLS/SSL协议。根据CIS漏洞扫描，超过16%的观察设备仍在使用TLS 1.0或1.1，这两个版本因已知安全弱点而已被弃用。

2. 弱加密密码

TLS和SSL为缺乏这些功能的其他协议提供机密性、完整性和真实性服务。TLS/SSL协议使用密码对更高层协议的内容进行加密以提供机密性。然而，一些较旧的密码（如RC4、DES、3DES和ARC4）由于已知漏洞和弱点现已不安全，破坏了TLS/SSL的整个目的。

3. 弱密钥交换机制

密钥交换过程是TLS/SSL握手的关键组成部分。弱密钥交换机制发生在TLS/SSL服务器支持不符合行业标准的加密算法时。密钥交换机制应提供至少112位的安全性。

4. 配置错误的SSL证书

SSL证书通过验证网站身份和加密用户浏览器与Web服务器之间的通信，在保护互联网通信方面发挥着关键作用。然而，配置错误的SSL证书可能带来严重安全风险。

通过CIS漏洞扫描，观察到四种最常见和高风险的SSL证书配置错误：

• 过期的SSL证书：过期的证书无法再通过证书颁发机构验证或信任
• 主题通用名称与服务器完全限定域名不匹配
• 检测到无效的最大有效期
• 自签名证书：自签名证书仅应用于测试目的

5. 已知高风险TLS/SSL漏洞

尽管TLS已被广泛采用，但几个漏洞继续威胁加密通信，特别是在仍使用传统协议或弱配置时。

根据CIS漏洞扫描，在外部网络中观察到的三种最常见和高风险漏洞：

• Sweet32：利用使用64位块大小的传统分组密码的长TLS/SSL会话中的碰撞漏洞
• BEAST：利用TLS 1.0和SSL 3.0协议中密码块链接模式加密实现的漏洞
• POODLE：利用SSL 3.0处理分组密码填充的方式

修复建议

为解决上述五种最普遍的外部网络风险，请遵循以下建议：

1. 禁用TLS 1.0和1.1，改用TLS 1.2或更高版本
2. 确保TLS/SSL服务器配置仅允许强密钥交换
3. 保持所有SSL证书有效、正确配置并由受信任的CA颁发
4. 对于Sweet32，组织应禁用并停止使用DES、3DES、IDEA或RC2密码
5. 对于BEAST，升级到TLS 1.2或更高版本
6. 对于POODLE，在所有系统上禁用SSL 3.0并强制使用TLS 1.2或更高版本
7. 与合格的红队进行定期漏洞评估和渗透测试
8. 维护所有软件资产的全面清单，以识别和删除过时或不支持的组件

利用定制威胁情报的力量

此威胁情报简报说明了CIS CTI团队如何支持多州信息共享与分析中心成员。通过MS-ISAC会员资格，组织可以共享信息并合作防御网络威胁。CIS CTI团队通过维护唯一针对美国SLTT的STIX/TAXII威胁情报源来支持成员，并定期发布威胁情报简报以及详细报告。