很多網(wǎng)絡(luò)安全事件均由安全漏洞引發(fā)。日前,騰訊安全威脅情報(bào)中心檢測(cè)到H2Miner黑產(chǎn)團(tuán)伙利用SaltStack遠(yuǎn)程命令執(zhí)行漏洞入侵企業(yè)主機(jī)、控制服務(wù)器進(jìn)行門(mén)羅幣挖礦,已非法獲利370萬(wàn)元,給企業(yè)正常業(yè)務(wù)造成重大影響。騰訊安全專家提醒企業(yè)及時(shí)升級(jí)修補(bǔ)漏洞,并使用專業(yè)安全產(chǎn)品予以防護(hù),避免被黑產(chǎn)利用。
Saltstack是基于python開(kāi)發(fā)的一套C/S架構(gòu)自動(dòng)化運(yùn)維工具,通過(guò)Saltstack運(yùn)維人員可以實(shí)現(xiàn)在眾多服務(wù)器上批量執(zhí)行命令,提高運(yùn)維效率,因而受到一些云主機(jī)商、私有云公司的青睞。然而,近日SaltStack被爆存在認(rèn)證繞過(guò)漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。其中,通過(guò)認(rèn)證繞過(guò)漏洞,攻擊者可構(gòu)造惡意請(qǐng)求,繞過(guò)Salt Master的驗(yàn)證邏輯,調(diào)用相關(guān)未授權(quán)函數(shù)功能,達(dá)到遠(yuǎn)程命令執(zhí)行目的;通過(guò)目錄遍歷漏洞,攻擊者可讀取服務(wù)器上任意文件,獲取系統(tǒng)敏感信息信息。漏洞影響包括SaltStack < 2019.2.4、SaltStack < 3000.2在內(nèi)的版本,影響廣泛。
5月3日,騰訊安全威脅情報(bào)中心檢測(cè)到首起利用SaltStack漏洞發(fā)動(dòng)攻擊的安全事件,通過(guò)對(duì)該事件木馬核心腳本、可執(zhí)行文件對(duì)比分析,確定攻擊行為來(lái)自挖礦木馬家族H2Miner。攻擊過(guò)程中,H2Miner木馬會(huì)卸載服務(wù)器的安全軟件,清除服務(wù)器內(nèi)其它挖礦木馬以獨(dú)占服務(wù)器資源。據(jù)騰訊安全威脅情報(bào)中心大數(shù)據(jù)統(tǒng)計(jì)結(jié)果顯示,自5月3日起,H2Miner利用SaltStack漏洞的攻擊呈快速增長(zhǎng)態(tài)勢(shì),目前已有多家企業(yè)中招,已有部分CDN平臺(tái)因入侵出現(xiàn)服務(wù)故障,黑產(chǎn)團(tuán)伙利用已控制的服務(wù)器組網(wǎng)進(jìn)行門(mén)羅幣挖礦,非法獲利已超370萬(wàn)元。
據(jù)騰訊安全相關(guān)專家介紹,H2Miner是一個(gè)linux下的挖礦僵尸網(wǎng)絡(luò),可通過(guò)hadoop yarn未授權(quán)、docker未授權(quán)、confluence RCE、thinkphp 5 RCE、Redis未授權(quán)等多種手段進(jìn)行入侵,下載惡意腳本及惡意程序進(jìn)行挖礦牟利,橫向掃描擴(kuò)大攻擊面并維持C&C通信,一旦成功入侵將大量占用服務(wù)器資源,直接影響企業(yè)正常業(yè)務(wù)和訪問(wèn)。
H2Miner利用SaltStack漏洞攻擊流程
為此,騰訊安全專家提醒企業(yè)加強(qiáng)防范,避免黑產(chǎn)團(tuán)伙“趁虛而入”。企業(yè)安全運(yùn)維人員應(yīng)將SaltMaster默認(rèn)監(jiān)聽(tīng)端口設(shè)置為禁止對(duì)公網(wǎng)開(kāi)放,或僅對(duì)可信對(duì)象開(kāi)放;將SaltStack升級(jí)至安全版本以上,并設(shè)置為自動(dòng)更新,及時(shí)獲取相應(yīng)補(bǔ)丁,防止病毒入侵;非必要情況下不要將Redis暴露在公網(wǎng),并使用足夠強(qiáng)的Redis口令。
與此同時(shí),騰訊安全團(tuán)隊(duì)也已更新涵蓋威脅發(fā)現(xiàn)、威脅分析、威脅處置在內(nèi)的全棧解決方案,全面封堵SaltStack漏洞的相關(guān)黑產(chǎn)利用,企業(yè)可選擇予以部署。在威脅情報(bào)上,T-Sec威脅情報(bào)云查服務(wù)、T-Sec高級(jí)威脅追溯系統(tǒng)已支持SaltStack漏洞相關(guān)黑產(chǎn)信息和情報(bào)的檢索,幫助企業(yè)及時(shí)識(shí)別威脅、追溯網(wǎng)絡(luò)入侵源頭。在邊界防護(hù)上,T-Sec高級(jí)威脅檢測(cè)系統(tǒng)、云防火墻可基于網(wǎng)絡(luò)流量進(jìn)行威脅檢測(cè),主動(dòng)攔截SaltStack遠(yuǎn)程命令執(zhí)行漏洞相關(guān)訪問(wèn)流量。在終端保護(hù)方面,T-Sec主機(jī)安全、T-Sec終端安全管理系統(tǒng)可查殺利用SaltStack遠(yuǎn)程命令執(zhí)行漏洞入侵的挖礦木馬、后門(mén)程序。在網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)檢測(cè)方面,T-Sec網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)檢測(cè)系統(tǒng)已集成無(wú)損檢測(cè)POC,企業(yè)可以對(duì)自身資產(chǎn)進(jìn)行遠(yuǎn)程檢測(cè),及時(shí)了解受漏洞影響情況。對(duì)于云上企業(yè),T-Sec安全運(yùn)營(yíng)中心已接入騰訊主機(jī)安全(云鏡)、騰訊御知等產(chǎn)品數(shù)據(jù)導(dǎo)入,為企業(yè)提供漏洞情報(bào)、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、泄露監(jiān)測(cè)、風(fēng)險(xiǎn)可視等全方位安全能力,護(hù)航服務(wù)器安全。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )