关于TellYouThePass 勒索事件安全风险预警

发布时间:2023年10月20日发布人: 来源:信息化管理办公室 浏览次数:

一、事件描述

针对近期发生的海康威视综合安防管理平台勒索攻击事件,攻击者利用历史已知的文件上传漏洞上传Webshell获取系统权限,并执行勒索病毒对文件进行加密,加密文件后缀为locked1,同时生成勒索信息文件README2.html。locked1病毒是TellYouThePass勒索家族变种之一,该家族主要通过已公开的Nday或未公开的0day漏洞进行大规模的无差别攻击。此外,TellYouThePass是一个使用Golang语言编写的跨平台勒索病毒,支持对Windows及linux系统文件进行加密,由于使用了RSA非对称加密算法,目前尚无公开的解密密钥或解密方案。

二、漏洞危害

高危

三、影响范围

受影响的平台

受影响版本号

iVMS-8700

V2.0.0 - V2.9.2

iSecure Center

V1.0.0 - V1.7.0

四、攻击排查

勒索事件涉及的漏洞为文件上传漏洞,该漏洞由于上传文件接口存在校验缺陷,导致攻击者可通过上传文件获取Webshell权限,并实现任意命令执行。

1、通过工具或命令行方式,排查综合安防管理平台相关web目录下是否存在异常jsp或jspx脚本文件。

windows平台web目录路径如: 文档编号:HERCERT-SW-202311-23

D:\hikvision\web\opsMgrCenter\bin\tomcat\apache-tomcat\webapps\clusterMgr。

Linux平台web目录路径如:

/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static或

/opt/opsmgr/web/components/tomcat85linux64.1/webapps/els/static/

2、由于该平台默认并未启用web访问日志,导致无法通过日志对攻击行为

进行分析,如存在第三方的日志平台,可检索相关上传接口是否存在异常请

求,如:①/center/api/files;.js②/center/api/files;.html③

/center/api/files;.png等。

此外,通过平台报错日志@bic.center.error.log,可排查是否存在漏洞利用痕迹,windows平台日志文件路径如:

D:/hikvision/web/opsMgrCenter/logs/opsmgr_center。

五、安全建议

1、海康威视已于2023年6月发布了关于文件上传漏洞的安全通告并提供了修复方案,参考链接如下:

https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/

检查是否存在海康威视综合安防管理平台,并根据上述官方漏洞通告,及时更新平台版本修复漏洞。

2、关闭海康威视综合安防管理平台公网映射。

3、海康威视综合安防管理平台历史上还存在多个漏洞且在互联网公开,建议平台用户识别并且修复历史漏洞,避免因其他历史漏洞再次被攻击。

4、对综合安防管理平台进行必要的安全加固,包括降权平台运行账户,以防止攻击者利用web漏洞直接获取主机控制权限;启用web访问日志,以在事后对漏洞利用及攻击行为进行分析溯源等。

5、面对勒索攻击,在做好安全防护的同时,数据备份是最行之有效的对抗方案,可通过私有云、存储设备、网络同步等方式,定期对重要业务数据进行备份并妥善保管。

六、技术支持

信息化管理办公室

0371-65821026






上一条:关于防范钓鱼邮件攻击的预警通知 下一条:关于WPS Office 远程代码执行漏洞安全风险预警

关闭