阿里雲捕獲一例針對國內群呼系統的0day攻擊

摘要

近日，阿里雲安全團隊基於態勢感知 0day 監測系統，檢測到來自立陶宛的攻擊者的攻擊行為。

據情報信息，該攻擊者已批量攻擊成功，並且，其使用的 Exploit 在互聯網範圍內未公開。阿里雲安全技術團隊接到告警後，第一時間協同漏洞研究、安全產品和應急團隊，進行分析和處置。

分析後發現，該攻擊針對於國內某運營商合作群呼系統 — 暫稱為Next群呼系統。

攻擊者目前僅做小範圍試探，並未進一步進行黑產變現；但根據攻擊行為預判：因攻擊者已經將受影響的目標已經存入資料庫，待時機成熟時，不排除攻擊者講使用黑產技術，進行批量的變現的可能。目前，阿里云云盾WAF默認支持防禦。

攻擊行為分析

阿里雲安全團隊發現，原始的攻擊報文會嘗試讀取用戶的/etc/passwd，附帶一個奇怪的特徵在 POST 數據段「|||0u05ab|\」，推測可能是黑客用來標識自己的掃描流量。

攻擊成功後，/etc/passwd將被回顯：

HTTP/1.1 200 OKDate: Sat, 10 Feb 2018 13:09:40 GMTServer: Apache/2.2.14 (CentOS)X-Powered-By: PHP/5.3.5Content-Disposition: attachment; filename="passwd"Pragma: no-cacheVary: Accept-EncodingContent-Length: 1103Content-Type: application/x-gziproot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinuucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologingopher:x:13:30:gopher:/var/gopher:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologinvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologinsaslauth:x:499:76:Saslauthd user:/var/empty/saslauth...

該攻擊者從2018-02-10 14:54:23開始，對該漏洞進行批量攻擊，截止到目前掃描仍未停止，已有相當數量的「裸奔」（沒有任何安全措施防護）的伺服器中招。

從攻擊行為來看，目前該黑客只是做了漏洞的探測，並沒有對漏洞進一步的利用，很可能是還未找到有效的變現手法。

阿里雲團隊也預測和提醒，不排除黑客已經將受影響的目標存入資料庫，待時機成熟時，使用黑產技術進行批量的變現 — 因而提前做好防範十分重要。

從攻擊趨勢來看，黑客持續且穩定的進行漏洞掃描，逐漸擴大自己的戰果，不排除攻擊者增加多台伺服器同時進行掃描。

漏洞詳情

該 CMS （建站系統）屬於某運營商合作群呼系統（因沒有具體名字，暫稱為Next群呼系統），在國內有一定數量的企業在使用。

阿里雲安全團隊對 CMS 進行了簡單評估，定位根目錄下downtar.php文件：

源碼中將$_REQUEST參數直接傳入readfile函數，導致任意文件讀取。

安全建議

為了避免黑客進行批量利用造成更大影響，阿里雲安全建議相關企業，及時進行自測：

（1）如果存在漏洞，可以快速熱修復：直接將 downtar.php 的 50 行 readfile 函數進行注釋。

（2）可使用阿里云云盾Web應用防火牆，默認防護此類攻擊。

後記

阿里雲安全團隊目前尚未研究該措施對於該 CMS 正常使用的影響，在進一步的研究修補方案的同時，我們也會將漏洞同步給 CMS 的開發商，請受影響的用戶及時關注後續的通知。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！