騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

  • 人閱讀
  • 2021-07-08 17:16:44

  • 來(lái)源:Techweb

  • 相關(guān)關(guān)鍵詞

一、概述

騰訊主機(jī)安全(云鏡)捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正在擴(kuò)散。受YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞影響,從7月第1周開(kāi)始,未部署任何安全防護(hù)系統(tǒng)的失陷云主機(jī)數(shù)已達(dá)數(shù)千臺(tái)。先后出現(xiàn)兩次失陷高峰,一次在7月3號(hào),一次在7月7號(hào)。BillGates僵尸網(wǎng)絡(luò)在7月1日首先發(fā)起攻擊,7月4日Mirai僵尸網(wǎng)絡(luò)木馬攻擊的規(guī)模更大,已部署騰訊云防火墻的云主機(jī)成功防御此輪攻擊。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

BillGates僵尸網(wǎng)絡(luò)與Mirai僵尸網(wǎng)絡(luò)木馬為存在多年十分活躍的僵尸網(wǎng)絡(luò)家族,這兩個(gè)僵尸網(wǎng)絡(luò)家族多用高危漏洞利用做為入侵手段,騰訊安全研究人員發(fā)現(xiàn)這兩個(gè)團(tuán)伙正在利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起攻擊,目前該漏洞暫無(wú)補(bǔ)丁,處于0day狀態(tài)。

YAPI接口管理平臺(tái)是國(guó)內(nèi)某旅行網(wǎng)站的大前端技術(shù)中心開(kāi)源項(xiàng)目,使用mock數(shù)據(jù)/腳本作為中間交互層,為前端后臺(tái)開(kāi)發(fā)與測(cè)試人員提供更優(yōu)雅的接口管理服務(wù),該系統(tǒng)被國(guó)內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。騰訊安全網(wǎng)絡(luò)空間測(cè)繪數(shù)據(jù)顯示,國(guó)內(nèi)采用YAPI接口管理平臺(tái)的服務(wù)器上萬(wàn)臺(tái),主要分布于浙江、北京、上海、廣東等省市(占比超過(guò)80%)。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

因YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞暫無(wú)補(bǔ)丁,BillGates僵尸網(wǎng)絡(luò)與Mirai僵尸網(wǎng)絡(luò)木馬家族主要利用受控主機(jī)進(jìn)行DDoS攻擊、留置后門(mén)或進(jìn)行挖礦作業(yè)。騰訊安全專家建議采用YAPI接口管理平臺(tái)的政企機(jī)構(gòu)盡快采取以下措施緩解漏洞風(fēng)險(xiǎn):

部署騰訊云防火墻實(shí)時(shí)攔截威脅;

關(guān)閉Y

API

用戶注冊(cè)功能,以阻斷攻擊者注冊(cè);

刪除惡意已注冊(cè)用戶,避免攻擊者再次添加mock腳本;

刪除惡意mock腳本,防止再被訪問(wèn)觸發(fā);

服務(wù)器回滾快照,可清除利用漏洞植入的后門(mén)。

騰訊安全威脅情報(bào)系統(tǒng)已支持自動(dòng)化輸出告警事件詳細(xì)分析報(bào)告,方便安全運(yùn)維人員獲得更豐富的情報(bào)信息,以便對(duì)告警事件進(jìn)行回溯處置。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

騰訊安全旗下全系列產(chǎn)品已經(jīng)支持對(duì)YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞的利用進(jìn)行檢測(cè)防御:

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

二、騰訊安全解決方案

BillGates家族與Mirai家族相關(guān)威脅數(shù)據(jù)已加入騰訊安全威脅情報(bào),賦能給騰訊全系列安全產(chǎn)品,企業(yè)客戶通過(guò)訂閱騰訊安全威脅情報(bào)產(chǎn)品,可以讓全網(wǎng)所有安全設(shè)備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。

騰訊安全威脅情報(bào)中心檢測(cè)到利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的攻擊活動(dòng)已影響數(shù)千臺(tái)未部署任何安全防護(hù)產(chǎn)品的云主機(jī),騰訊安全專家建議政企機(jī)構(gòu)公有云系統(tǒng)部署騰訊云防火墻、騰訊主機(jī)安全(云鏡)等產(chǎn)品檢測(cè)防御相關(guān)威脅。

騰訊云防火墻支持檢測(cè)攔截利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的攻擊活動(dòng)。騰訊云防火墻內(nèi)置虛擬補(bǔ)丁防御機(jī)制,可積極防御某些高危且使用率很高的漏洞利用。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

已部署騰訊主機(jī)安全(云鏡)的企業(yè)客戶可以通過(guò)高危命令監(jiān)控發(fā)現(xiàn),騰訊主機(jī)安全(云鏡)可對(duì)攻擊過(guò)程中產(chǎn)生得木馬落地文件進(jìn)行自動(dòng)檢測(cè),客戶可登錄騰訊云->主機(jī)安全控制臺(tái),檢查病毒木馬告警信息,將惡意木馬一鍵隔離或刪除??蛻艨赏ㄟ^(guò)騰訊主機(jī)安全的漏洞管理、基線管理功能對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行安全漏洞檢測(cè)和弱口令檢測(cè)。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

私有云客戶可通過(guò)旁路部署騰訊高級(jí)威脅檢測(cè)系統(tǒng)(NTA、御界)進(jìn)行流量檢測(cè)分析,及時(shí)發(fā)現(xiàn)黑客團(tuán)伙利用漏洞對(duì)企業(yè)私有云的攻擊活動(dòng)。騰訊高級(jí)威脅檢測(cè)系統(tǒng)(NTA、御界)可檢測(cè)到利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的惡意攻擊活動(dòng)。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

企業(yè)客戶可通過(guò)旁路部署騰訊天幕(NIPS)實(shí)時(shí)攔截利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞的網(wǎng)絡(luò)通信連接,徹底封堵攻擊流量。騰訊天幕(NIPS)基于騰訊自研安全算力算法PaaS優(yōu)勢(shì),形成具備萬(wàn)億級(jí)海量樣本、毫秒級(jí)響應(yīng)、自動(dòng)智能、安全可視化等能力的網(wǎng)絡(luò)邊界協(xié)同防護(hù)體系。

三、YAPI接口管理平臺(tái)0day漏洞分析

YAPI接口管理平臺(tái)是某互聯(lián)網(wǎng)企業(yè)大前端技術(shù)中心開(kāi)源項(xiàng)目,使用mock數(shù)據(jù)/腳本作為中間交互層,為前端后臺(tái)開(kāi)發(fā)與測(cè)試人員提供更優(yōu)雅的接口管理服務(wù)。該平臺(tái)被國(guó)內(nèi)眾多知名互聯(lián)網(wǎng)企業(yè)所采用。

其中mock數(shù)據(jù)通過(guò)設(shè)定固定數(shù)據(jù)返回固定內(nèi)容,對(duì)于需要根據(jù)用戶請(qǐng)求定制化響應(yīng)內(nèi)容的情況mock腳本通過(guò)寫(xiě)JS腳本的方式處理用戶請(qǐng)求參數(shù)返回定制化內(nèi)容,本次漏洞就是發(fā)生在mock腳本服務(wù)上。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

由于mock腳本自定義服務(wù)未對(duì)JS腳本加以命令過(guò)濾,用戶可以添加任何請(qǐng)求處理腳本,因此可以在腳本中植入命令,等用戶訪問(wèn)接口發(fā)起請(qǐng)求時(shí)觸發(fā)命令執(zhí)行。

該漏洞暫無(wú)補(bǔ)丁,建議受影響的企業(yè)參考以下方案緩解風(fēng)險(xiǎn):

部署騰訊云防火墻實(shí)時(shí)攔截威脅;

關(guān)閉Y

API

用戶注冊(cè)功能,以阻斷攻擊者注冊(cè);

刪除惡意已注冊(cè)用戶,避免攻擊者再次添加mock腳本;

刪除惡意mock腳本,防止再被訪問(wèn)觸發(fā);

服務(wù)器回滾快照,可清除利用漏洞植入的后門(mén)。

四、詳細(xì)分析

攻擊腳本

攻擊者首先注冊(cè)功能先注冊(cè)賬號(hào),登錄賬號(hào)后才能自定義mock腳本。

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

攻擊者通過(guò)mock腳本中植入惡意命令,待用戶訪問(wèn)mock接口發(fā)起請(qǐng)求時(shí)觸發(fā)命令執(zhí)行。

木馬文件

7.1號(hào)以來(lái)主機(jī)側(cè)累計(jì)利用該漏洞捕獲到的木馬文件:

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

木馬文件詳細(xì)信息:

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

本次攻擊投遞的木馬文件未發(fā)現(xiàn)新變種,但漏洞利用速度極快7.2號(hào)出現(xiàn)攻擊事件之后,短短一周已有上千臺(tái)主機(jī)失陷,目前官方尚無(wú)補(bǔ)丁可用,受影響的客戶需要在主機(jī)側(cè)關(guān)閉用戶注冊(cè)與腳本添加權(quán)限,已失陷主機(jī)需盡快回滾服務(wù)器快照。

BillGates僵尸網(wǎng)絡(luò)木馬及Mirai僵尸網(wǎng)絡(luò)木馬和以往的版本并無(wú)差異,這里不再贅述。

威脅視角看攻擊行為

騰訊安全捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用,該攻擊正擴(kuò)散,可使用防火墻阻截

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )