im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,
栏目:新闻中心 发布时间:2021-12-05 10:30

  腾讯主机安全(云镜)捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,从7月第1周开始,未部署任何安全防护系统的失陷云主机数已达数千台。先后出现两次失陷高峰,一次在7月3号,一次在7月7号。BillGates僵尸网络在7月1日首先发起攻击,7月4日Mirai僵尸网络木马攻击的规模更大,已部署腾讯云防火墙的云主机成功防御此轮攻击。

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

  BillGates僵尸网络与Mirai僵尸网络木马为存在多年十分活跃的僵尸网络家族,这两个僵尸网络家族多用高危漏洞利用做为入侵手段,腾讯安全研究人员发现这两个团伙正在利用YAPI接口管理平台远程代码执行漏洞发起攻击,目前该漏洞暂无补丁,处于0day状态。

  YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。腾讯安全网络空间测绘数据显示,国内采用YAPI接口管理平台的服务器上万台,主要分布于浙江、北京、上海、广东等省市(占比超过80%)。

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

  因YAPI远程代码执行0day漏洞暂无补丁,BillGates僵尸网络与Mirai僵尸网络木马家族主要利用受控主机进行DDoS攻击、留置后门或进行挖矿作业。腾讯安全专家建议采用YAPI接口管理平台的政企机构尽快采取以下措施缓解漏洞风险:

  1.部署腾讯云防火墙实时拦截威胁;

  2.关闭YAPI用户注册功能,以阻断攻击者注册;

  3.删除恶意已注册用户,避免攻击者再次添加mock脚本;

  4.删除恶意mock脚本,防止再被访问触发;

  5.服务器回滚快照,可清除利用漏洞植入的后门。

  腾讯安全威胁情报系统已支持自动化输出告警事件详细分析报告,方便安全运维人员获得更丰富的情报信息,以便对告警事件进行回溯处置。

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

  腾讯安全旗下全系列产品已经支持对YAPI接口管理平台远程代码执行漏洞的利用进行检测防御:

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

  二、腾讯安全解决方案

  BillGates家族与Mirai家族相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

  腾讯安全威胁情报中心检测到利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动已影响数千台未部署任何安全防护产品的云主机,腾讯安全专家建议政企机构公有云系统部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。

  腾讯云防火墙支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,<a href=im电竞官网," src="http://www.meijiehang.com/Uploadfiles/UEditor/Wordfile/20210708/2021070816554184/1/2021070816554184.006.png" />

  已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现,腾讯主机安全(云镜)可对攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

  私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。

im电竞官网腾讯安全捕获YAPI远程代码执行0day漏洞在野利用,

下一篇:没有了
服务热线
4008-888-888