一、概述
騰訊主機(jī)安全(云鏡)捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正在擴(kuò)散。受YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞影響,從7月第1周開始,未部署任何安全防護(hù)系統(tǒng)的失陷云主機(jī)數(shù)已達(dá)數(shù)千臺。先后出現(xiàn)兩次失陷高峰,一次在7月3號,一次在7月7號。BillGates僵尸網(wǎng)絡(luò)在7月1日首先發(fā)起攻擊,7月4日Mirai僵尸網(wǎng)絡(luò)木馬攻擊的規(guī)模更大,已部署騰訊云防火墻的云主機(jī)成功防御此輪攻擊。
BillGates僵尸網(wǎng)絡(luò)與Mirai僵尸網(wǎng)絡(luò)木馬為存在多年十分活躍的僵尸網(wǎng)絡(luò)家族,這兩個(gè)僵尸網(wǎng)絡(luò)家族多用高危漏洞利用做為入侵手段,騰訊安全研究人員發(fā)現(xiàn)這兩個(gè)團(tuán)伙正在利用YAPI接口管理平臺遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起攻擊,目前該漏洞暫無補(bǔ)丁,處于0day狀態(tài)。
YAPI接口管理平臺是國內(nèi)某旅行網(wǎng)站的大前端技術(shù)中心開源項(xiàng)目,使用mock數(shù)據(jù)/腳本作為中間交互層,為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務(wù),該系統(tǒng)被國內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。騰訊安全網(wǎng)絡(luò)空間測繪數(shù)據(jù)顯示,國內(nèi)采用YAPI接口管理平臺的服務(wù)器上萬臺,主要分布于浙江、北京、上海、廣東等省市(占比超過80%)。
因YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞暫無補(bǔ)丁,BillGates僵尸網(wǎng)絡(luò)與Mirai僵尸網(wǎng)絡(luò)木馬家族主要利用受控主機(jī)進(jìn)行DDoS攻擊、留置后門或進(jìn)行挖礦作業(yè)。騰訊安全專家建議采用YAPI接口管理平臺的政企機(jī)構(gòu)盡快采取以下措施緩解漏洞風(fēng)險(xiǎn):
部署騰訊云防火墻實(shí)時(shí)攔截威脅;
關(guān)閉Y
API
用戶注冊功能,以阻斷攻擊者注冊;
刪除惡意已注冊用戶,避免攻擊者再次添加mock腳本;
刪除惡意mock腳本,防止再被訪問觸發(fā);
服務(wù)器回滾快照,可清除利用漏洞植入的后門。
騰訊安全威脅情報(bào)系統(tǒng)已支持自動化輸出告警事件詳細(xì)分析報(bào)告,方便安全運(yùn)維人員獲得更豐富的情報(bào)信息,以便對告警事件進(jìn)行回溯處置。
騰訊安全旗下全系列產(chǎn)品已經(jīng)支持對YAPI接口管理平臺遠(yuǎn)程代碼執(zhí)行漏洞的利用進(jìn)行檢測防御:
二、騰訊安全解決方案
BillGates家族與Mirai家族相關(guān)威脅數(shù)據(jù)已加入騰訊安全威脅情報(bào),賦能給騰訊全系列安全產(chǎn)品,企業(yè)客戶通過訂閱騰訊安全威脅情報(bào)產(chǎn)品,可以讓全網(wǎng)所有安全設(shè)備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。
騰訊安全威脅情報(bào)中心檢測到利用YAPI接口管理平臺遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的攻擊活動已影響數(shù)千臺未部署任何安全防護(hù)產(chǎn)品的云主機(jī),騰訊安全專家建議政企機(jī)構(gòu)公有云系統(tǒng)部署騰訊云防火墻、騰訊主機(jī)安全(云鏡)等產(chǎn)品檢測防御相關(guān)威脅。
騰訊云防火墻支持檢測攔截利用YAPI接口管理平臺遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的攻擊活動。騰訊云防火墻內(nèi)置虛擬補(bǔ)丁防御機(jī)制,可積極防御某些高危且使用率很高的漏洞利用。
已部署騰訊主機(jī)安全(云鏡)的企業(yè)客戶可以通過高危命令監(jiān)控發(fā)現(xiàn),騰訊主機(jī)安全(云鏡)可對攻擊過程中產(chǎn)生得木馬落地文件進(jìn)行自動檢測,客戶可登錄騰訊云->主機(jī)安全控制臺,檢查病毒木馬告警信息,將惡意木馬一鍵隔離或刪除??蛻艨赏ㄟ^騰訊主機(jī)安全的漏洞管理、基線管理功能對網(wǎng)絡(luò)資產(chǎn)進(jìn)行安全漏洞檢測和弱口令檢測。
私有云客戶可通過旁路部署騰訊高級威脅檢測系統(tǒng)(NTA、御界)進(jìn)行流量檢測分析,及時(shí)發(fā)現(xiàn)黑客團(tuán)伙利用漏洞對企業(yè)私有云的攻擊活動。騰訊高級威脅檢測系統(tǒng)(NTA、御界)可檢測到利用YAPI接口管理平臺遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的惡意攻擊活動。
企業(yè)客戶可通過旁路部署騰訊天幕(NIPS)實(shí)時(shí)攔截利用YAPI接口管理平臺遠(yuǎn)程代碼執(zhí)行漏洞的網(wǎng)絡(luò)通信連接,徹底封堵攻擊流量。騰訊天幕(NIPS)基于騰訊自研安全算力算法PaaS優(yōu)勢,形成具備萬億級海量樣本、毫秒級響應(yīng)、自動智能、安全可視化等能力的網(wǎng)絡(luò)邊界協(xié)同防護(hù)體系。
三、YAPI接口管理平臺0day漏洞分析
YAPI接口管理平臺是某互聯(lián)網(wǎng)企業(yè)大前端技術(shù)中心開源項(xiàng)目,使用mock數(shù)據(jù)/腳本作為中間交互層,為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務(wù)。該平臺被國內(nèi)眾多知名互聯(lián)網(wǎng)企業(yè)所采用。
其中mock數(shù)據(jù)通過設(shè)定固定數(shù)據(jù)返回固定內(nèi)容,對于需要根據(jù)用戶請求定制化響應(yīng)內(nèi)容的情況mock腳本通過寫JS腳本的方式處理用戶請求參數(shù)返回定制化內(nèi)容,本次漏洞就是發(fā)生在mock腳本服務(wù)上。
由于mock腳本自定義服務(wù)未對JS腳本加以命令過濾,用戶可以添加任何請求處理腳本,因此可以在腳本中植入命令,等用戶訪問接口發(fā)起請求時(shí)觸發(fā)命令執(zhí)行。
該漏洞暫無補(bǔ)丁,建議受影響的企業(yè)參考以下方案緩解風(fēng)險(xiǎn):
部署騰訊云防火墻實(shí)時(shí)攔截威脅;
關(guān)閉Y
API
用戶注冊功能,以阻斷攻擊者注冊;
刪除惡意已注冊用戶,避免攻擊者再次添加mock腳本;
刪除惡意mock腳本,防止再被訪問觸發(fā);
服務(wù)器回滾快照,可清除利用漏洞植入的后門。
四、詳細(xì)分析
攻擊腳本
攻擊者首先注冊功能先注冊賬號,登錄賬號后才能自定義mock腳本。
攻擊者通過mock腳本中植入惡意命令,待用戶訪問mock接口發(fā)起請求時(shí)觸發(fā)命令執(zhí)行。
木馬文件
7.1號以來主機(jī)側(cè)累計(jì)利用該漏洞捕獲到的木馬文件:
木馬文件詳細(xì)信息:
本次攻擊投遞的木馬文件未發(fā)現(xiàn)新變種,但漏洞利用速度極快7.2號出現(xiàn)攻擊事件之后,短短一周已有上千臺主機(jī)失陷,目前官方尚無補(bǔ)丁可用,受影響的客戶需要在主機(jī)側(cè)關(guān)閉用戶注冊與腳本添加權(quán)限,已失陷主機(jī)需盡快回滾服務(wù)器快照。
BillGates僵尸網(wǎng)絡(luò)木馬及Mirai僵尸網(wǎng)絡(luò)木馬和以往的版本并無差異,這里不再贅述。
威脅視角看攻擊行為
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )