首頁  >  IT頻道  >  業界資訊  > 正文

騰訊安全:“挖礦僵屍”利用SaltStack漏洞入侵服務器 企業需加強防範

2020-05-08 13:26:01 | 來源: 北國網 | 責編: 鄭思雯
分享到:

  很多網絡安全事件均由安全漏洞引發。日前,騰訊安全威脅情報中心檢測到H2Miner黑產團夥利用SaltStack遠程命令執行漏洞入侵企業主機、控制服務器進行門羅幣挖礦,已非法獲利370萬元,給企業正常業務造成重大影響。騰訊安全專家提醒企業及時升級修補漏洞,並使用專業安全產品予以防護,避免被黑產利用。

  Saltstack是基於python開發的一套C/S架構自動化運維工具,通過Saltstack運維人員可以實現在眾多服務器上批量執行命令,提高運維效率,因而受到一些雲主機商、私有雲公司的青睞。然而,近日SaltStack被爆存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。其中,通過認證繞過漏洞,攻擊者可構造惡意請求,繞過Salt Master的驗證邏輯,調用相關未授權函數功能,達到遠程命令執行目的;通過目錄遍歷漏洞,攻擊者可讀取服務器上任意文件,獲取系統敏感信息信息。漏洞影響包括SaltStack < 2019.2.4、SaltStack < 3000.2在內的版本,影響廣泛。

  5月3日,騰訊安全威脅情報中心檢測到首起利用SaltStack漏洞發動攻擊的安全事件,通過對該事件木馬核心腳本、可執行文件對比分析,確定攻擊行為來自挖礦木馬家族H2Miner。攻擊過程中,H2Miner木馬會卸載服務器的安全軟體,清除服務器內其它挖礦木馬以獨佔服務器資源。據騰訊安全威脅情報中心大數據統計結果顯示,自5月3日起,H2Miner利用SaltStack漏洞的攻擊呈快速增長態勢,目前已有多家企業中招,已有部分CDN平臺因入侵出現服務故障,黑產團夥利用已控制的服務器組網進行門羅幣挖礦,非法獲利已超370萬元。

  據騰訊安全相關專家介紹,H2Miner是一個linux下的挖礦僵屍網絡,可通過hadoop yarn未授權、docker未授權、confluence RCE、thinkphp 5 RCE、Redis未授權等多種手段進行入侵,下載惡意腳本及惡意程序進行挖礦牟利,橫向掃描擴大攻擊面並維持C&C通信,一旦成功入侵將大量佔用服務器資源,直接影響企業正常業務和訪問。

騰訊安全:“挖礦僵屍”利用SaltStack漏洞入侵服務器 企業需加強防範

H2Miner利用SaltStack漏洞攻擊流程

  為此,騰訊安全專家提醒企業加強防範,避免黑產團夥“趁虛而入”。企業安全運維人員應將SaltMaster默認監聽端口設置為禁止對公網開放,或僅對可信對象開放;將SaltStack升級至安全版本以上,並設置為自動更新,及時獲取相應補丁,防止病毒入侵;非必要情況下不要將Redis暴露在公網,並使用足夠強的Redis口令。

  與此同時,騰訊安全團隊也已更新涵蓋威脅發現、威脅分析、威脅處置在內的全棧解決方案,全面封堵SaltStack漏洞的相關黑產利用,企業可選擇予以部署。在威脅情報上,T-Sec威脅情報雲查服務、T-Sec高級威脅追溯系統已支持SaltStack漏洞相關黑產信息和情報的檢索,幫助企業及時識別威脅、追溯網絡入侵源頭。在邊界防護上,T-Sec高級威脅檢測系統、雲防火晱i基於網絡流量進行威脅檢測,主動攔截SaltStack遠程命令執行漏洞相關訪問流量。在終端保護方面,T-Sec主機安全、T-Sec終端安全管理系統可查殺利用SaltStack遠程命令執行漏洞入侵的挖礦木馬、後門程序。在網絡資產風險檢測方面,T-Sec網絡資產風險檢測系統已集成無損檢測POC,企業可以對自身資產進行遠程檢測,及時了解受漏洞影響情況。對於雲上企業,T-Sec安全運營中心已接入騰訊主機安全(雲鏡)、騰訊禦知等產品數據導入,為企業提供漏洞情報、威脅發現、事件處置、基線合規、洩露監測、風險可視等全方位安全能力,護航服務器安全。

國際在線版權與信息產品內容銷售的聲明:

1、“國際在線”由中國國際廣播電臺主辦。經中國國際廣播電臺授權,國廣國際在線網絡(北京)有限公司獨家負責“國際在線”網站的市場經營。

2、凡本網註明“來源:國際在線”的所有信息內容,未經書面授權,任何單位及個人不得轉載、摘編、複製或利用其他方式使用。

3、“國際在線”自有版權信息(包括但不限于“國際在線專稿”、“國際在線消息”、“國際在線XX消息”“國際在線報道”“國際在線XX報道”等信息內容,但明確標注為第三方版權的內容除外)均由國廣國際在線網絡(北京)有限公司統一管理和銷售。

已取得國廣國際在線網絡(北京)有限公司使用授權的被授權人,應嚴格在授權範圍內使用,不得超範圍使用,使用時應註明“來源:國際在線”。違反上述聲明者,本網將追究其相關法律責任。

任何未與國廣國際在線網絡(北京)有限公司簽訂相關協議或未取得授權書的公司、媒體、網站和個人均無權銷售、使用“國際在線”網站的自有版權信息產品。否則,國廣國際在線網絡(北京)有限公司將採取法律手段維護合法權益,因此產生的損失及為此所花費的全部費用(包括但不限于律師費、訴訟費、差旅費、公證費等)全部由侵權方承擔。

4、凡本網註明“來源:XXX(非國際在線)”的作品,均轉載自其它媒體,轉載目的在於傳遞更多信息,豐富網絡文化,此類稿件並不代表本網贊同其觀點和對其真實性負責。

5、如因作品內容、版權和其他問題需要與本網聯絡的,請在該事由發生之日起30日內進行。