如何检测利用GHOST缓冲区溢出漏洞的攻击

幽灵脆弱性是一种很容易在本地和远程利用的缓冲区溢出情况，这使得它非常危险。此安全漏洞以GetHOSTbyname与攻击有关的功能。

 

攻击者通过向易受攻击的系统发送特定的数据包，利用这种缓冲区溢出漏洞。该攻击允许攻击者执行任意代码并控制受害者易受攻击的机器。

 

不幸的是，该漏洞存在于GNU C库（glibc），一个最初于2000年发布的代码库，这意味着它已被广泛分发。许多衍生程序利用glibc执行常见任务。虽然Linux在2013年发布的更新缓解了该漏洞，但大多数系统和产品尚未安装该补丁。

 

与任何漏洞一样，缓解GHOST漏洞的最佳方法是识别易受攻击的系统，根据资产关键性确定修复过程的优先级，并部署补丁。您应该保存网络中设备、操作系统和应用程序的最新清单，以便回答“我易受攻击吗？”？“在一些坏演员替你回答之前。

AlienVault统一安全管理（USM）也有帮助。USM在一个控制台中提供资产发现、漏洞评估、威胁检测（IDS）、行为监控和SIEM，以及AlienVault实验室安全研究团队开发的每周威胁情报更新。

 

USM可以扫描您的网络，以识别存在GHOST漏洞的资产，使您能够轻松识别需要修补的系统并确定修复的优先级。

USM不仅可以识别易受攻击的系统，还可以帮助您检测试图利用该漏洞进行的攻击。在发现GHOST漏洞的几个小时内，AlienVault实验室团队向USM平台发布了更新的相关指令，使用户能够检测到试图利用该漏洞的攻击者。

 

USM还根据最大的众包威胁情报交换平台开放威胁交换（OTX）检查IP信息。在下面的示例中，您可以从OTX查看有关IP信誉的详细信息，包括与之相关的任何恶意活动。