日前，騰訊御見威脅情報中心通報了一起H2Miner黑產團伙利用SaltStack漏洞控制服務器挖礦的入侵案例。

據悉，騰訊安全威脅情報中心于2020年05月03日檢測到H2Miner木馬利用SaltStack遠程命令執(zhí)行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企業(yè)主機進行挖礦。通過對木馬的核心腳本以及可執(zhí)行文件的對比分析，確認了此次攻擊行動屬于挖礦木馬家族H2Miner。

據了解，H2Miner是一個linux下的挖礦僵尸網絡，通過hadoop yarn未授權、docker未授權、confluence RCE、thinkphp 5 RCE、Redis未授權等多種手段進行入侵，下載惡意腳本及惡意程序進行挖礦牟利，橫向掃描擴大攻擊面并維持C&C通信。

騰訊安全威脅情報中心大數據統(tǒng)計結果顯示，H2Miner利用SaltStack漏洞的攻擊自5月3日開始，目前呈快速增長趨勢。H2Miner挖礦木馬運行時會嘗試卸載服務器的安全軟件，清除服務器安裝的其他挖礦木馬，以獨占服務器資源。目前，H2Miner黑產團伙通過控制服務器進行門羅幣挖礦已非法獲利超370萬元。

Saltstack是基于python開發(fā)的一套C/S自動化運維工具。近日，SaltStack被爆存在認證繞過漏洞（CVE-2020-11651）和目錄遍歷漏洞（CVE-2020-11652），其中：

CVE-2020-11651：為認證繞過漏洞，攻擊者可構造惡意請求，繞過Salt Master的驗證邏輯，調用相關未授權函數功能，達到遠程命令執(zhí)行目的。

CVE-2020-11652：為目錄遍歷漏洞，攻擊者可構造惡意請求，讀取服務器上任意文件，獲取系統(tǒng)敏感信息信息。

此次入侵導致不少CDN平臺服務商平臺出現故障，進而導致多家網站訪問受到影響。

騰訊安全專家建議企業(yè)采取以下措施強化服務器安全，檢查并清除服務器是否被入侵安裝H2Miner挖礦木馬：

• 將Salt Master默認監(jiān)聽端口（默認4505 和 4506）設置為禁止對公網開放，或僅對可信對象開放。將SaltStack升級至安全版本以上，升級前建議做好快照備份，設置SaltStack為自動更新，及時獲取相應補丁。
• Redis 非必要情況不要暴露在公網，使用足夠強壯的Redis口令。
• 參考以下步驟手動檢查并清除H2Miner挖礦木馬：

kill掉進程中包含salt-minions和salt-store文件的進程，文件hash為a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb；

刪除文件/tmp/salt-minions、/tmp/salt-store；

將惡意腳本服務器地址217.12.210.192、206.189.92.32進行封禁；

升級SaltStack到2019.2.4或3000.2，防止病毒再次入侵。

總結

到此這篇關于SaltStack 重大漏洞的文章就介紹到這了,更多相關SaltStack 重大漏洞內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論