首页  >  IT频道  >  业界资讯  > 正文

腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器 企业需加强防范

2020-05-08 13:26:01 | 来源: 北国网 | 责编: 郑思雯
分享到:

  很多网络安全事件均由安全漏洞引发。日前,腾讯安全威胁情报中心检测到H2Miner黑产团伙利用SaltStack远程命令执行漏洞入侵企业主机、控制服务器进行门罗币挖矿,已非法获利370万元,给企业正常业务造成重大影响。腾讯安全专家提醒企业及时升级修补漏洞,并使用专业安全产品予以防护,避免被黑产利用。

  Saltstack是基于python开发的一套C/S架构自动化运维工具,通过Saltstack运维人员可以实现在众多服务器上批量执行命令,提高运维效率,因而受到一些云主机商、私有云公司的青睐。然而,近日SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。其中,通过认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的;通过目录遍历漏洞,攻击者可读取服务器上任意文件,获取系统敏感信息信息。漏洞影响包括SaltStack < 2019.2.4、SaltStack < 3000.2在内的版本,影响广泛。

  5月3日,腾讯安全威胁情报中心检测到首起利用SaltStack漏洞发动攻击的安全事件,通过对该事件木马核心脚本、可执行文件对比分析,确定攻击行为来自挖矿木马家族H2Miner。攻击过程中,H2Miner木马会卸载服务器的安全软件,清除服务器内其它挖矿木马以独占服务器资源。据腾讯安全威胁情报中心大数据统计结果显示,自5月3日起,H2Miner利用SaltStack漏洞的攻击呈快速增长态势,目前已有多家企业中招,已有部分CDN平台因入侵出现服务故障,黑产团伙利用已控制的服务器组网进行门罗币挖矿,非法获利已超370万元。

  据腾讯安全相关专家介绍,H2Miner是一个linux下的挖矿僵尸网络,可通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持C&C通信,一旦成功入侵将大量占用服务器资源,直接影响企业正常业务和访问。

腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器 企业需加强防范

H2Miner利用SaltStack漏洞攻击流程

  为此,腾讯安全专家提醒企业加强防范,避免黑产团伙“趁虚而入”。企业安全运维人员应将SaltMaster默认监听端口设置为禁止对公网开放,或仅对可信对象开放;将SaltStack升级至安全版本以上,并设置为自动更新,及时获取相应补丁,防止病毒入侵;非必要情况下不要将Redis暴露在公网,并使用足够强的Redis口令。

  与此同时,腾讯安全团队也已更新涵盖威胁发现、威胁分析、威胁处置在内的全栈解决方案,全面封堵SaltStack漏洞的相关黑产利用,企业可选择予以部署。在威胁情报上,T-Sec威胁情报云查服务、T-Sec高级威胁追溯系统已支持SaltStack漏洞相关黑产信息和情报的检索,帮助企业及时识别威胁、追溯网络入侵源头。在边界防护上,T-Sec高级威胁检测系统、云防火墙可基于网络流量进行威胁检测,主动拦截SaltStack远程命令执行漏洞相关访问流量。在终端保护方面,T-Sec主机安全、T-Sec终端安全管理系统可查杀利用SaltStack远程命令执行漏洞入侵的挖矿木马、后门程序。在网络资产风险检测方面,T-Sec网络资产风险检测系统已集成无损检测POC,企业可以对自身资产进行远程检测,及时了解受漏洞影响情况。对于云上企业,T-Sec安全运营中心已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为企业提供漏洞情报、威胁发现、事件处置、基线合规、泄露监测、风险可视等全方位安全能力,护航服务器安全。

国际在线版权与信息产品内容销售的声明:

1、“国际在线”由中国国际广播电台主办。经中国国际广播电台授权,国广国际在线网络(北京)有限公司独家负责“国际在线”网站的市场经营。

2、凡本网注明“来源:国际在线”的所有信息内容,未经书面授权,任何单位及个人不得转载、摘编、复制或利用其他方式使用。

3、“国际在线”自有版权信息(包括但不限于“国际在线专稿”、“国际在线消息”、“国际在线XX消息”“国际在线报道”“国际在线XX报道”等信息内容,但明确标注为第三方版权的内容除外)均由国广国际在线网络(北京)有限公司统一管理和销售。

已取得国广国际在线网络(北京)有限公司使用授权的被授权人,应严格在授权范围内使用,不得超范围使用,使用时应注明“来源:国际在线”。违反上述声明者,本网将追究其相关法律责任。

任何未与国广国际在线网络(北京)有限公司签订相关协议或未取得授权书的公司、媒体、网站和个人均无权销售、使用“国际在线”网站的自有版权信息产品。否则,国广国际在线网络(北京)有限公司将采取法律手段维护合法权益,因此产生的损失及为此所花费的全部费用(包括但不限于律师费、诉讼费、差旅费、公证费等)全部由侵权方承担。

4、凡本网注明“来源:XXX(非国际在线)”的作品,均转载自其它媒体,转载目的在于传递更多信息,丰富网络文化,此类稿件并不代表本网赞同其观点和对其真实性负责。

5、如因作品内容、版权和其他问题需要与本网联系的,请在该事由发生之日起30日内进行。