重要预警 | 阿里云捕获一例针对国内群呼系统的0day攻击

本文涉及的产品
云安全中心 免费版,不限时长
简介: 摘要 近日,阿里云安全团队基于态势感知 0day 监测系统,检测到来自立陶宛的攻击者的攻击行为。 据情报信息,该攻击者已批量攻击成功,并且,其使用的 Exploit 在互联网范围内未公开。阿里云安全技术团队接到告警后,第一时间协同漏洞研究、安全产品和应急团队,进行分析和处置。

摘要


近日,阿里云安全团队基于态势感知 0day 监测系统,检测到来自立陶宛的攻击者的攻击行为。


据情报信息,该攻击者已批量攻击成功,并且,其使用的 Exploit 在互联网范围内未公开。阿里云安全技术团队接到告警后,第一时间协同漏洞研究、安全产品和应急团队,进行分析和处置。


分析后发现,该攻击针对于国内某运营商合作群呼系统 — 暂称为Next群呼系统。


攻击者目前仅做小范围试探,并未进一步进行黑产变现;但根据攻击行为预判:因攻击者已经将受影响的目标已经存入数据库,待时机成熟时,不排除攻击者讲使用黑产技术,进行批量的变现的可能。目前,阿里云云盾WAF默认支持防御。


攻击行为分析


阿里云安全团队发现,原始的攻击报文会尝试读取用户的/etc/passwd,附带一个奇怪的特征在 POST 数据段“|||0\u05ab|\\”,推测可能是黑客用来标识自己的扫描流量。


攻击成功后,/etc/passwd将被回显:


HTTP/1.1 200 OK
Date: Sat, 10 Feb 2018 13:09:40 GMT
Server: Apache/2.2.14 (CentOS)
X-Powered-By: PHP/5.3.5
Content-Disposition: attachment; filename="passwd"
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 1103
Content-Type: application/x-gzip

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth:x:499:76:Saslauthd user:/var/empty/saslauth
...


该攻击者从2018-02-10 14:54:23开始,对该漏洞进行批量攻击,截止到目前扫描仍未停止,已有相当数量的“裸奔”(没有任何安全措施防护)的服务器中招。


5d3b95a717af89aa8b2d5f5a00b154c3e3f722ad


从攻击行为来看,目前该黑客只是做了漏洞的探测,并没有对漏洞进一步的利用,很可能是还未找到有效的变现手法。


阿里云团队也预测和提醒,不排除黑客已经将受影响的目标存入数据库,待时机成熟时,使用黑产技术进行批量的变现 — 因而提前做好防范十分重要。



97dfcf66e114591976e24425a588087dcbe61a52


从攻击趋势来看,黑客持续且稳定的进行漏洞扫描,逐渐扩大自己的战果,不排除攻击者增加多台服务器同时进行扫描。


漏洞详情


该 CMS (建站系统)属于某运营商合作群呼系统(因没有具体名字,暂称为Next群呼系统),在国内有一定数量的企业在使用。


阿里云安全团队对 CMS 进行了简单评估,定位根目录下downtar.php文件:


<?php
	function get_browser_type()
	{
	    $USER_BROWSER_AGENT="";
	
	    if (ereg('OPERA(/| )([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='OPERA';
	    }
	    else if (ereg('MSIE ([0-9].[0-9]{1,2})',strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='IE';
	    }
	    else if (ereg('OMNIWEB/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='OMNIWEB';
	    }
	    else if (ereg('MOZILLA/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='MOZILLA';
	    }
	    else if (ereg('KONQUEROR/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='KONQUEROR';
	    }
	    else
	    {
	        $USER_BROWSER_AGENT='OTHER';
	    }
	
	    return $USER_BROWSER_AGENT;
	}$fullpath = isset($_REQUEST['fullpath']) ? trim(urldecode($_REQUEST['fullpath'])) : '';$now = gmdate('D, d M Y H:i:s') . ' GMT';$USER_BROWSER_AGENT= get_browser_type();$basename = basename($fullpath);header("Content-Type: application/x-gzip");header('Expires: ' . $now);if($USER_BROWSER_AGENT == 'IE'){
    header("Content-Disposition: attachment; filename=\"$basename\"");
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');}else{
    header("Content-Disposition: attachment; filename=\"$basename\"");
    header('Pragma: no-cache');}readfile($fullpath);?>


源码中将$_REQUEST参数直接传入readfile函数,导致任意文件读取。


安全建议


为了避免黑客进行批量利用造成更大影响,阿里云安全建议相关企业,及时进行自测:


(1)如果存在漏洞,可以快速热修复:直接将 downtar.php 的 50 行 readfile 函数进行注释。


(2)可使用阿里云云盾Web应用防火墙,默认防护此类攻击。


后记


阿里云安全团队目前尚未研究该措施对于该 CMS 正常使用的影响,在进一步的研究修补方案的同时,我们也会将漏洞同步给 CMS 的开发商,请受影响的用户及时关注后续的通知。

目录
相关文章
|
1月前
阿里云ARMS的新版和老版界面是两套不同的系统
阿里云ARMS的新版和老版界面是两套不同的系统
77 2
|
12天前
|
网络协议 安全 调度
阿里云公共DNS发布支持鸿蒙系统版的SDK
阿里云公共DNS发布支持鸿蒙系统版SDK,赋能鸿蒙开发者快速接入阿里云公共DNS服务。公共DNS将帮助接入的鸿蒙应用免除LocalDNS劫持困扰、解析加速、精准调度。
|
1月前
|
弹性计算 Linux Shell
阿里云ecs linux系统如何进行系统盘的扩容
【1月更文挑战第25天】【1月更文挑战第122篇】阿里云ecs linux系统如何进行系统盘的扩容
287 1
|
1月前
|
消息中间件 编解码 运维
阿里云 Serverless 异步任务处理系统在数据分析领域的应用
本文主要介绍异步任务处理系统中的数据分析,函数计算异步任务最佳实践-Kafka ETL,函数计算异步任务最佳实践-音视频处理等。
175434 349
|
1月前
|
自然语言处理 算法 OLAP
阿里云PAI大模型RAG对话系统最佳实践
本文为大模型RAG对话系统最佳实践,旨在指引AI开发人员如何有效地结合LLM大语言模型的推理能力和外部知识库检索增强技术,从而显著提升对话系统的性能,使其能更加灵活地返回用户查询的内容。适用于问答、摘要生成和其他依赖外部知识的自然语言处理任务。通过该实践,您可以掌握构建一个大模型RAG对话系统的完整开发链路。
|
24天前
|
监控 安全 网络安全
|
1月前
|
弹性计算 监控 安全
【阿里云弹性计算】ECS实例监控与告警系统构建:利用阿里云监控服务保障稳定性
【5月更文挑战第23天】在数字化时代,阿里云弹性计算服务(ECS)为业务连续性提供保障。通过阿里云监控服务,用户可实时监控ECS实例的CPU、内存、磁盘I/O和网络流量等指标。启用监控,创建自定义视图集中显示关键指标,并设置告警规则(如CPU使用率超80%),结合多种通知方式确保及时响应。定期维护和优化告警策略,利用健康诊断工具,能提升服务高可用性和稳定性,确保云服务的卓越性能。
42 1
|
1月前
|
安全 小程序 网络安全
阿里云腾讯云免费SSL证书托管系统的开发初衷
由于Google等公司推动,互联网安全趋势将SSL证书期限统一缩短至3个月,阿里云和腾讯云相继跟进。对于管理多个站点的小公司而言,手动维护变得繁琐。为自动化此过程,作者探索使用API解决方案。通过研究腾讯云API,成功实现证书的自动创建、审核和下载。为应对无免费到期提醒服务,作者创建计划任务,在证书到期前7天发送提醒,初期采用短信提醒,并增设公众号模板消息作为备选方案,完成到期提醒系统的构建。接下来的文章将讨论SSL证书的申请和下载流程。
57 2
|
29天前
|
弹性计算 监控 数据库
【阿里云弹性计算】企业级应用上云实战:基于阿里云 ECS 的 ERP 系统迁移案例
【5月更文挑战第25天】制造企业将面临资源不足、维护成本高和数据安全问题的ERP系统迁移到阿里云ECS,实现业务上云。通过数据迁移、应用部署、网络配置和性能优化等步骤,企业享受到弹性计算资源、高可靠性和数据安全优势,降低维护成本。阿里云提供24小时支持,助力企业数字化转型。此案例展示企业级应用上云的可行性,鼓励更多企业借助云计算实现创新发展。
41 0
|
1月前
|
存储 Serverless 网络安全
Serverless 应用引擎产品使用之阿里云函数计算中的Web云函数可以抵抗网站对DDoS攻击如何解决
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。

热门文章

最新文章