高危预警|美国ImmunitySec商业版漏洞扫描工具泄露

Posted 2021-04-02 北京神州网云

★★★★★危害程度五星

这次泄露的漏洞测试工具具有傻瓜化，自动化的“大杀器”的漏洞渗透测试能力，可以使一个稍微懂一些计算机的人员就可以操作使用，如果被黑灰产、挖矿、勒索等网络犯罪团伙利用将造成严重的经济损失，希望政府企事业单位引起重视，千里之堤，毁于蚁穴。

2021年3月2日，有国外安全研究人员在社交媒体称，Immunity Canvas 7.26工具的源码遭到泄露，里面包含959个漏洞利用工具。

Immunity Canvas是美国ImmunitySec出品的安全漏洞检测工具，包含了480多个以上的漏洞利用，是一款针对对象广泛的自动化漏洞利用工具，对于渗透测试人员来说，CANVAS是比较专业的安全漏洞利用框架，也常被用于对IDS和IPS的检测能力的测试。

 

产品攻击测试对象

1.操作系统:Windows，vista，linux，solaris，aix，hp-unix，mac……

2.服务器软件: IIS，APACHE，JBOSS，TOMCAT，WEBLOGIC…

3.数据库软件: DB2，ORACLE，MSSQL，mysql，INFORMIX…

4.WEB应用: Joomla, mambo…

5.软件应用: Acrobat Reader, RealPlay,

6.社交应用: 网站钓鱼，邮件欺诈

7.木马后门：rootkit

建议各政府企事业单位对正在运行的业务系统和重要的安全生产内部网络进行安全检测，针对重要设备及业务系统及时打上补丁，更新网络安全设备的防护规则，防范于未然。如需帮助请联系网络威胁数据联盟成员单位神州网云（北京）信息技术有限公司。