预警

saltstack RCE安全通告

安全通告 Saltstack 定位是自动化运维工具,运维工具一旦出现漏洞危害影响较大。同类型的运维工具还有ansible,puppet,Chef 国外安全团体F-Secure报告了两个Saltstack漏洞 包含两个CVE CVE-2020-11651 水平权限绕过漏洞 CVE-2020-11652 任意文件读写漏洞 通过对这两个漏洞的利用可以实现RCE的效果,在控制salt-master之后,通过salt大面积控制在运维系统下的主机 关于saltstack SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。 影响范围 SaltStack < 2019.2.4 SaltStack < 3000.2 问题排查 1.查看进程ps -ef|grep salt 如图所示为阿里云中某机器中招后截图,其中三个salt相关进程。 alicloud-salt-minion 为官方进程 /tmp/salt-minions 为挖矿样本 md5sum /tmp/salt-minions 计算挖矿样本hash为 目前已知恶意hash如下: - a28ded80d7ab5c69d6ccde4602eef861 - 8ec3385e20d6d9a88bc95831783beaeb - 2c5cbc18d1796fd64f377c43175e79a3 - dc5b2fa7f85aa0bbd226afe3b5fcaeea - defc9efd1b430aea797e573922fa49ae file命令查看文件类型,挖矿进程为elf文件 正常文件为python脚本文件 2.检查网路链接netstat -anp|grep tcp|grep ESTABLISHED 如图所示,排除掉本地连接、排除掉入向链接,观察外连进程状态。 已知挖矿主机远程IP如下: - 217.12.210.192 - 206.189.92.32 3.阿里云安全面板通知 如果您使用的阿里云,可以在安全面板上看到如图类似告警,请注意关注安全告警 4.其他行为 目前发现该挖矿程序会关闭cpu占用较高的进程,在系统日志里可以查看到kill记录grep -r "kill" /var/log/messages* 也会关闭docker中的其他挖矿程序 修复建议 建议重装系统,因为salt进程权限为root权限,理论上被黑后,黑客拥有任意权限,可能种入隐藏后门。如果暂时无法重装系统可以使用阿里云提供的一键清理脚本curl https://ageis-check.oss-cn-hangzhou.aliyuncs.com/salt_miner_clean.sh | /bin/bash 升级到安全版本 2019.

漏洞预警-WebLogic远程命令执行 CVE-2018-2893&CVE-2018-2894

预警 今日(北京时间2018-07-18)Oracle官方发布CPU(Critical Patch Update关键更新补丁)通告, 本次通告包含的一个反序列化漏洞CVE-2018-2893和远程命令执行CVE-2018-2894危害较大,可被利用来挖矿; 其中CVE-2018-2894漏洞可以直接通过HTTP方式利用,安全漏洞评分系统(CVSS)高达9.8,请站长朋友及时更新,或者使用一些防护产品,以免造成严重损失。 关于WebLogic WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 Oracle 一般会在1,4,7,10月中距离17号最近的周二发布安全补丁包。本站上次WebLogic预警也是今年4月份的18号。 影响范围 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 修复建议 目前Oracle官方更新建议请访问 http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 建议使用河马查杀客户端检测WEBSHELL, 关于河马 专注WEB安全研究与产品开发,有多年WEBSHELL清理检测经验 参考 oracle官方通告 白帽汇 漏洞预警 ADLab原创漏洞 漏洞预警-CVE-2018-2628 WebLogic反序列化远程代码执行

漏洞预警-WebLogic反序列化远程代码执行

预警 今日凌晨(北京时间2018-04-18)Oracle官方发布CPU(Critical Patch Update关键更新补丁)通告, 本次更新修复了一个未授权远程代码执行的反序列化漏洞CVE-2018-2628。河马安全研究员已就此漏洞进行了验证,已经成功复现此漏洞。本漏洞危害较大可被利用来挖矿,对用户造成严重损失,建议用户第一时间更新。 关于WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 影响范围 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 修复建议 目前Oracle官方已经发布补丁,请移步 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 安装对应的补丁 如果在生产环境中,也可以临时禁用Weblogic T3协议, 据称此种方法存在被绕过风险,建议及时验证兼容性,并安装最新官方补丁 在安装补丁后建议使用河马WEBSHELL查杀客户端进行WEBSHELL检测和清理。 关于河马 专注WEB安全研究与产品开发,有多年WEBSHELL清理检测经验 参考 oracle官方通告 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 绿盟威胁情报 http://blog.nsfocus.net/category/threatalerts/ 白帽汇 漏洞预警