阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4570阅读
  • 0回复

[安全漏洞公告专区]黑客利用Apache CouchDB中的两个“老漏洞”挖掘门罗币

级别: 论坛版主
发帖
241
云币
478
随着加密数字货币的日益普及,伴之而来的是越来越多的滥用加密货币挖矿机的黑客攻击活动。根据趋势科技监测到的数据,一种新的攻击被发现(攻击活动在本月初达到最高峰),正利用流行数据库管理系统CouchDB中的两个漏洞感染目标设备,并将其转变成门罗币“矿工”。 L=q+|j1>  
+)j1.X  
Apache CouchDB是一个用Erlang开发的开源数据库管理系统,旨在将可扩展的体系结构与易于使用的界面相结合。CouchDB最大的意义在于它是一个面向web应用的存储系统,它的1.0版本在2010年7月14日发布,其最初的口号就是:下一代的Web应用存储系统。根据DB-Engines的排名,CouchDB在300位中排名第28,并被一些大型企业所采用,就比如英国广播公司(BBC) >. '<J]  
u%]shm  
趋势科技表示,此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是: y`$Q \}fS  
  • 高危:Apache CouchDB JSON远程特权升级漏洞(CVE-2017-12635)
  • 高危:Apache CouchDB _config命令执行(CVE-2017-12636)
W?eu!wL#p  
前者被描述为远程特权提升漏洞,后者则是一个命令执行漏洞。以上两个漏洞在2017年发布官方公告,并表示已经被修复 0pJ ":Q/2)  
具体来讲,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的,可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库身设计原因导致的,拥有系统管理员权限的用户可以通过HTTP(S)方式配置数据库。在某些配置中,用户可以设置可执行文件的路径,以在数据库运行范围内执行。两者结合,则可实现任意代码远程执行。 \0mb 3Q'  
'=1KVE^Fk  
q^A+<d  
默认情况下,CouchDB侦听端口5984 / TCP。 根据我们(来自趋势科技数据)的传感器,恶意活动的高峰期在2月初发生: ]S(%[|  
`)T~psT  
在趋势科技最新发现的攻击中,黑客便利用了这两个漏洞来下载并执行最终的有效载荷。这是一个名为“logo6.jpg”的文件,实际上是一个Bourne shell脚本,可以执行多个操作。 -K rxMi  
首先,它会通过杀死其他可能存在的挖矿活动进程来确保自己的唯一性。然后,才会下载并执行加密货币挖矿所需的可执行文件,并进行配置。此外,它通过安装预定的cron计划任务来保持持久性 m=:4`_0Q  
HAv{R!*  
YKE46q;J  
趋势科技强调,加密货币挖矿恶意软件不仅会降低受感染系统的性能,还会带来大量潜在的安全问题,从信息窃取到下载其他更多的恶意软件。 &Ch#-CUE/  
Pfm_@'8  
m}8[#:  
AgRjr"hF*e  
数据库是企业客户关键资产,阿里建议用户关注并提供以下安全建议措施: $uap8nN  
  • 使用ECS安全组防火墙配置策略,禁止对Internet开放数据库端口;
  • 升级Apache CouchDB数据库到最新版本
  • 关闭http 服务;
  • 禁止使用root权限运行数据库服务;
  • 从认证、授权、日志审计方面对数据库进行加固,如配置强口令、对用户精细化授权、开启日志审计功能等,具体可以参见Apache couchDB官方配置文档
\MK*by  
点击查看更多信息 .[Ap=UYI>  
rQEyD  
Ndo a4L)$  
IOCs t9Y=m6  
IPs: 'Fs)Rx}\0  
l#lF +Q;  
Hashs &f7fK|}  
Hash Detected as COINMI​NE​.GE H-3Eo#b#  
[tg^GOf '  
Hash Detected as COINMI​NE​.GP t ^[8RhD  
Hash Detected as COINMI​NE​.GQ Qc[3Fq,f  
N<Q jdD&  
情报来源: -F=v6N{  
e#,~,W.H  
R|f~>JUF  
F  q!fWl  
MwfOy@|N  
4J?t_)  
dJv!Dts')C  
=l.+,|ZH!  
(YY~{W$w(  
P_c,BlfGMH  
kGL1!=>  
>Bs#Xb_B]  
%?aS#4jI  
2o#,kGd  
[ 此帖被正禾在2018-02-27 10:26重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)