腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器,企业需加强防范
很多网络安全事件均由安全漏洞引发 。 日前 , 腾讯安全威胁情报中心检测到H2Miner黑产团伙利用SaltStack远程命令执行漏洞入侵企业主机、控制服务器进行门罗币挖矿 , 已非法获利370万元 , 给企业正常业务造成重大影响 。 腾讯安全专家提醒企业及时升级修补漏洞 , 并使用专业安全产品予以防护 , 避免被黑产利用 。
Saltstack是基于python开发的一套C/S架构自动化运维工具 , 通过Saltstack运维人员可以实现在众多服务器上批量执行命令 , 提高运维效率 , 因而受到一些云主机商、私有云公司的青睐 。 然而 , 近日SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652) 。 其中 , 通过认证绕过漏洞 , 攻击者可构造恶意请求 , 绕过SaltMaster的验证逻辑 , 调用相关未授权函数功能 , 达到远程命令执行目的;通过目录遍历漏洞 , 攻击者可读取服务器上任意文件 , 获取系统敏感信息信息 。 漏洞影响包括SaltStack2019.2.4、SaltStack3000.2在内的版本 , 影响广泛 。
腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器,企业需加强防范。5月3日 , 腾讯安全威胁情报中心检测到首起利用SaltStack漏洞发动攻击的安全事件 , 通过对该事件木马核心脚本、可执行文件对比分析 , 确定攻击行为来自挖矿木马家族H2Miner 。 攻击过程中 , H2Miner木马会卸载服务器的安全软件 , 清除服务器内其它挖矿木马以独占服务器资源 。 据腾讯安全威胁情报中心大数据统计结果显示 , 自5月3日起 , H2Miner利用SaltStack漏洞的攻击呈快速增长态势 , 目前已有多家企业中招 , 已有部分CDN平台因入侵出现服务故障 , 黑产团伙利用已控制的服务器组网进行门罗币挖矿 , 非法获利已超370万元 。
据腾讯安全相关专家介绍 , H2Miner是一个linux下的挖矿僵尸网络 , 可通过hadoopyarn未授权、docker未授权、confluenceRCE、thinkphp5RCE、Redis未授权等多种手段进行入侵 , 下载恶意脚本及恶意程序进行挖矿牟利 , 横向扫描扩大攻击面并维持CC通信 , 一旦成功入侵将大量占用服务器资源 , 直接影响企业正常业务和访问 。
----腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器 , 企业需加强防范//----
H2Miner利用SaltStack漏洞攻击流程
为此 , 腾讯安全专家提醒企业加强防范 , 避免黑产团伙“趁虚而入” 。 企业安全运维人员应将SaltMaster默认监听端口设置为禁止对公网开放 , 或仅对可信对象开放;将SaltStack升级至安全版本以上 , 并设置为自动更新 , 及时获取相应补丁 , 防止病毒入侵;非必要情况下不要将Redis暴露在公网 , 并使用足够强的Redis口令 。
腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器,企业需加强防范。与此同时 , 腾讯安全团队也已更新涵盖威胁发现、威胁分析、威胁处置在内的全栈解决方案 , 全面封堵SaltStack漏洞的相关黑产利用 , 企业可选择予以部署 。 在威胁情报上 , T-Sec威胁情报云查服务、T-Sec高级威胁追溯系统已支持SaltStack漏洞相关黑产信息和情报的检索 , 帮助企业及时识别威胁、追溯网络入侵源头 。 在边界防护上 , T-Sec高级威胁检测系统、云防火墙可基于网络流量进行威胁检测 , 主动拦截SaltStack远程命令执行漏洞相关访问流量 。 在终端保护方面 , T-Sec主机安全、T-Sec终端安全管理系统可查杀利用SaltStack远程命令执行漏洞入侵的挖矿木马、后门程序 。 在网络资产风险检测方面 , T-Sec网络资产风险检测系统已集成无损检测POC , 企业可以对自身资产进行远程检测 , 及时了解受漏洞影响情况 。 对于云上企业 , T-Sec安全运营中心已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入 , 为企业提供漏洞情报、威胁发现、事件处置、基线合规、泄露监测、风险可视等全方位安全能力 , 护航服务器安全 。
- 「空调」集中空调怎样用得安全?杭州检查5431家公共场所
- [监管局]昌平区市场监管局开展大型游乐设施安全隐患排查整治
- 手机大魔王用权限管理来保护你的隐私安全,安卓手机安装APP后先别打开
- 上游新闻渝北区翠苹路社区深入排查消防安全隐患,夏季火灾高发期来临
- 『表扬』江西省食品安全考核获A级通报表扬
- 『警示』【张家界应急】张家界市召开安全生产集体警示约谈会
- 「道路交通」阳信县公安局举办道路交通安全管理工作培训班
- 「省食品」陕西省开展食品安全领域三大提升行动
- 手机大魔王安卓手机安装APP后先别打开,用权限管理来保护你的隐私安全
- 灵武市融媒体中心维护医保基金安全,强化打击欺诈骗保专项治理