通報:騰訊主機安全捕獲YAPI遠程代碼執行0day漏洞在野利用,該攻擊正在擴散,可使用防火牆阻截 https://mp.weixin.qq.com/s/FAMfCxvdvW-VK99k_7NYxA
https://mp.weixin.qq.com/s/FAMfCxvdvW-VK99k_7NYxA
通報:騰訊主機安全捕獲YAPI遠程代碼執行0day漏洞在野利用,該攻擊正在擴散,可使用防火牆阻截
一、概述
騰訊主機安全(雲鏡)捕獲YAPI遠程代碼執行0day漏洞在野利用,該攻擊正在擴散。受YAPI遠程代碼執行0day漏洞影響,從7月第1周開始,未部署任何安全防護系統的失陷雲主機數已達數千台。先后出現兩次失陷高峰,一次在7月3號,一次在7月7號。BillGates僵屍網絡在7月1日首先發起攻擊,7月4日Mirai僵屍網絡木馬攻擊的規模更大,已部署騰訊雲防火牆的雲主機成功防御此輪攻擊。
因YAPI遠程代碼執行0day漏洞暫無補丁,BillGates僵屍網絡與Mirai僵屍網絡木馬家族主要利用受控主機進行DDoS攻擊、留置后門或進行挖礦作業。騰訊安全專家建議采用YAPI接口管理平台的政企機構盡快采取以下措施緩解漏洞風險:
-
部署騰訊雲防火牆實時攔截威脅;
-
關閉YAPI用戶注冊功能,以阻斷攻擊者注冊;
-
刪除惡意已注冊用戶,避免攻擊者再次添加mock腳本;
-
刪除惡意mock腳本,防止再被訪問觸發;
-
服務器回滾快照,可清除利用漏洞植入的后門。
騰訊安全威脅情報系統已支持自動化輸出告警事件詳細分析報告,方便安全運維人員獲得更豐富的情報信息,以便對告警事件進行回溯處置。
二、騰訊安全解決方案
BillGates家族與Mirai家族相關威脅數據已加入騰訊安全威脅情報,賦能給騰訊全系列安全產品,企業客戶通過訂閱騰訊安全威脅情報產品,可以讓全網所有安全設備同步具備和騰訊安全產品一致的威脅發現、防御和清除能力。騰訊安全威脅情報中心檢測到利用YAPI接口管理平台遠程代碼執行漏洞發起的攻擊活動已影響數千台未部署任何安全防護產品的雲主機,騰訊安全專家建議政企機構公有雲系統部署騰訊雲防火牆、騰訊主機安全(雲鏡)等產品檢測防御相關威脅。騰訊雲防火牆支持檢測攔截利用YAPI接口管理平台遠程代碼執行漏洞發起的攻擊活動。騰訊雲防火牆內置虛擬補丁防御機制,可積極防御某些高危且使用率很高的漏洞利用。
已部署騰訊主機安全(雲鏡)的企業客戶可以通過高危命令監控發現,騰訊主機安全(雲鏡)可對攻擊過程中產生得木馬落地文件進行自動檢測,客戶可登錄騰訊雲->主機安全控制台,檢查病毒木馬告警信息,將惡意木馬一鍵隔離或刪除。客戶可通過騰訊主機安全的漏洞管理、基線管理功能對網絡資產進行安全漏洞檢測和弱口令檢測。
私有雲客戶可通過旁路部署騰訊高級威脅檢測系統(NTA、御界)進行流量檢測分析,及時發現黑客團伙利用漏洞對企業私有雲的攻擊活動。騰訊高級威脅檢測系統(NTA、御界)可檢測到利用YAPI接口管理平台遠程代碼執行漏洞發起的惡意攻擊活動。
三、YAPI接口管理平台0day漏洞分析
YAPI接口管理平台是某互聯網企業大前端技術中心開源項目,使用mock數據/腳本作為中間交互層,為前端后台開發與測試人員提供更優雅的接口管理服務。該平台被國內眾多知名互聯網企業所采用。其中mock數據通過設定固定數據返回固定內容,對於需要根據用戶請求定制化響應內容的情況mock腳本通過寫JS腳本的方式處理用戶請求參數返回定制化內容,本次漏洞就是發生在mock腳本服務上。
該漏洞暫無補丁,建議受影響的企業參考以下方案緩解風險:
-
部署騰訊雲防火牆實時攔截威脅;
-
關閉YAPI用戶注冊功能,以阻斷攻擊者注冊;
-
刪除惡意已注冊用戶,避免攻擊者再次添加mock腳本;
-
刪除惡意mock腳本,防止再被訪問觸發;
-
服務器回滾快照,可清除利用漏洞植入的后門。
-
四、詳細分析
攻擊腳本
攻擊者首先注冊功能先注冊賬號,登錄賬號后才能自定義mock腳本。
木馬文件
7.1號以來主機側累計利用該漏洞捕獲到的木馬文件:
木馬文件詳細信息:
| 文件名稱 |
文件MD5 |
文件家族 |
是否新變種 |
| hxxp://2w.kacdn.cn/20000 |
c303c2fff08565b7977afccb762e2072 |
BillGates |
否 |
| hxxp://117.24.13.169:881/KaBot |
56b157ffd5a4b8b26d472395c8d2f7dc |
BillGates |
否 |
| hxxp://117.24.13.169:118/2771 |
56b157ffd5a4b8b26d472395c8d2f7dc |
BillGates |
否 |
| hxxp://117.24.13.169:664/botmm/x86_64 |
3b904f9bc4f8f504598127ed702c3e1e |
Mirai |
否 |
| hxxp://66.42.103.186/hang/x86_64 |
3b904f9bc4f8f504598127ed702c3e1e |
Mirai |
否 |
| hxxp://27.50.49.61:1231/X64 |
3b904f9bc4f8f504598127ed702c3e1e |
Mirai |
否 |
本次攻擊投遞的木馬文件未發現新變種,但漏洞利用速度極快7.2號出現攻擊事件之后,短短一周已有上千台主機失陷,目前官方尚無補丁可用,受影響的客戶需要在主機側關閉用戶注冊與腳本添加權限,已失陷主機需盡快回滾服務器快照。
BillGates僵屍網絡木馬及Mirai僵屍網絡木馬和以往的版本並無差異,這里不再贅述。威脅視角看攻擊行為:
| ATT&CK階段 |
行為 |
| 偵察 |
掃描IP端口,確認可攻擊目標存開放YAPI注冊服務。 |
| 資源開發 |
在YAPI平台注冊開發者賬號。 |
| 初始訪問 |
利用對外開放的mock腳本添加服務,植入惡意命令 |
| 執行 |
觸發接口調用,執行惡意命令 |
| 影響 |
駐留的僵屍木馬具備下載執行,命令執行等后門功能。將給服務器帶來不可預料的各類型網絡風險。門羅幣礦機模塊不間斷的工作,會導致系統CPU負載過大,大量消耗主機CPU資源,嚴重影響主機正常服務運行,導致主機有系統崩潰風險。 |
IOCs
MD5
c303c2fff08565b7977afccb762e2072
56b157ffd5a4b8b26d472395c8d2f7dc
3b904f9bc4f8f504598127ed702c3e1e
URL:
hxxp://2w.kacdn.cn/20000
hxxp://117.24.13.169:881/KaBot
hxxp://117.24.13.169:118/2771
hxxp://117.24.13.169:664/botmm/x86_64
hxxp://66.42.103.186/hang/x86_64
hxxp://27.50.49.61:1231/X64
YAPI認證用戶利用Mock功能遠程代碼執行事件通告 https://mp.weixin.qq.com/s/SMK3yrMXEiYNWLcaZW6nPw
報告編號:B6-2021-070802
報告來源:360CERT
報告作者:360CERT
更新日期:2021-07-08
1
事件簡述
2021年07月08日,360CERT監測發現 YAPI 存在攻擊事件,事件等級:高危,事件評分:9.8。
YAPI 是高效、易用、功能強大的 api 管理平台。但因為大量的用戶使用 YAPI的默認配置並允許從外部網絡訪問 YAPI服務。導致攻擊者通過注冊用戶后,即可通 Mock功能遠程執行任意代碼。
目前已經有用戶在Github 發布遭受攻擊的相關信息
對此,360CERT建議廣大用戶好資產自查以及預防工作,以免遭受黑客攻擊。及時將 YAPI 服務關閉用戶注冊功能,並禁止從外部網絡訪問。
2
風險等級
360CERT對該事件的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 廣泛 |
| 攻擊者價值 | 高 |
| 利用難度 | 低 |
| 360CERT評分 | 9.8 |
3
事件摘要
本次事件並不是 YAPI 的安全漏洞,屬於用戶使用時未按照安全的方式對YAPI進行配置。
攻擊者可以使用 YAPI 的 Mock 功能在受影響的服務器上執行任意 javascript 代碼,導致攻擊者接管並控制服務器。
相關功能的利用需要用戶注冊並登錄YAPI,未開放注冊的YAPI服務不受影響
4
修復建議
臨時修補建議
建議用戶按照以下方式進行排查和修復
1. 關閉 YAPI 用戶注冊功能
2. 禁止 YAPI 所在服務器從外部網絡訪問
3. 排查 YAPI 服務器是否存在惡意訪問記錄
關閉用戶注冊
yapi項目目錄下有config.json,找到或添加以下行到 json 結構中
{
"closeRegister":true
}
重啟服務,以 pm2 為例
pm2 restart yapi
禁止外部網絡訪問 YAPI
以 iptables 為例,自行替換 yapi_port_num 為 YAPI 開放端口
//只允許127.0.0.1訪問
iptables -A INPUT -s 127.0.0.1 -p tcp --dport yapi_port_num -j ACCEPT
//其他ip訪問全部拒絕
iptables -A INPUT -p TCP --dport yapi_port_num -j REJECT
5
相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現YAPI具體分布如下圖所示。
Quake搜索語法:app: "YApi 可視化接口管理平台"
YAPI 在國內使用量尤其突出
6
產品側解決方案
若想了解更多產品信息或有相關業務需求,可移步至http://360.net。
360城市級網絡安全監測服務
360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平台(quake.360.cn),通過資產測繪技術的方式,對該漏洞進行監測。可聯系相關產品區域負責人或(quake#360.cn)獲取對應產品。
360安全分析響應平台
360安全大腦的安全分析響應平台通過網絡流量檢測、多傳感器數據融合關聯分析手段,對該類漏洞的利用進行實時檢測和阻斷,請用戶聯系相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。
360本地安全大腦
360本地安全大腦是將360雲端安全大腦核心能力本地化部署的一套開放式全場景安全運營平台,實現安全態勢、監控、分析、溯源、研判、響應、管理的智能化安全運營賦能。360本地安全大腦已支持對相關漏洞利用的檢測,請及時更新網絡神經元(探針)規則和本地安全大腦關聯分析規則,做好防護。
360終端安全管理系統
360終端安全管理系統軟件是在360安全大腦極智賦能下,以大數據、雲計算等新技術為支撐,以可靠服務為保障,集防病毒與終端安全管控功能於一體的企業級安全產品。
360終端安全管理系統已支持對相關漏洞進行檢測和修復,建議用戶及時更新漏洞庫並安裝更新相關補丁。
7
時間線
2021-07-08 360CERT發布通告
8
參考鏈接
1、 yapi #2229
https://github.com/YMFE/yapi/issues/2229
2、 yapi #2233
https://github.com/YMFE/yapi/issues/2233
9
特制報告下載鏈接
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。用戶可直接通過以下鏈接進行特制報告的下載。
sirp_alert
http://certdl.qihucdn.com/cert-public-file/【360CERT】YAPI認證用戶利用Mock功能遠程代碼執行事件通告/%!s(MISSING).pdf
若有訂閱意向與定制需求請掃描下方二維碼進行信息填寫,或發送郵件至g-cert-report#360.cn ,並附上您的 公司名、姓名、手機號、地區、郵箱地址。