软件安全“挖矿僵尸”利用SaltStack漏洞入侵服务器:多家企业中招已获利370万

Posted 水网火安

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了软件安全“挖矿僵尸”利用SaltStack漏洞入侵服务器:多家企业中招已获利370万相关的知识,希望对你有一定的参考价值。

Saltstack是基于python开发的一套C/S自动化运维工具。近日,SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),其中,对于认证绕过漏洞,攻击者可构造恶意请求,绕过SaltMaster的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。对于目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。

腾讯安全威胁情报中心近日检测到H2Miner木马利用SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析,确认了此次攻击行动属于挖矿木马家族H2Miner。H2Miner是一个linux下的挖矿僵尸网络,通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持C&C通信。

那么对于企业,应该采取哪些措施强化服务器安全?如何检查并清除服务器是否被入侵安装H2Miner挖矿木马,腾讯安全专家给出如下建议:

1、将Salt Master默认监听端口(默认4505 和 4506)设置为禁止对公网开放,或仅对可信对象开放。将SaltStack升级至安全版本以上,升级前建议做好快照备份,设置SaltStack为自动更新,及时获取相应补丁。

2、Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令。

3、参考以下步骤手动检查并清除H2Miner挖矿木马:

①kill掉进程中包含salt-minions和salt-store文件的进程,文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb;

②删除文件/tmp/salt-minions、/tmp/salt-store;

④升级SaltStack到2019.2.4或3000.2,防止病毒再次入侵。


以上是关于软件安全“挖矿僵尸”利用SaltStack漏洞入侵服务器:多家企业中招已获利370万的主要内容,如果未能解决你的问题,请参考以下文章

H2Miner黑产团伙利用SaltStack漏洞控制服务器挖矿,已获利370万元

黑客利用SaltStack新漏洞入侵LineageOS;Windows10计划推迟两周发布更新

安全通告丨SaltStack 远程命令执行漏洞风险通告(CVE-2020-11651/CVE-2020-11652)

安全通告SaltStack 远程命令执行漏洞风险通告(CVE-2020-11651/CVE-2020-11652)

温州市网络与信息安全信息通报中心关于SaltStack软件存在高危漏洞的预警通报

H2Miner利用SaltStack漏洞获利超370万人民币,门罗币仍为最受黑客喜爱目标