騰訊安全捕獲YAPI遠程代碼執(zhí)行0day漏洞在野利用，該攻擊正擴散，可使用防火墻阻截

一、概述

騰訊主機安全(云鏡)捕獲YAPI遠程代碼執(zhí)行0day漏洞在野利用，該攻擊正在擴散。受YAPI遠程代碼執(zhí)行0day漏洞影響，從7月第1周開始，未部署任何安全防護系統(tǒng)的失陷云主機數(shù)已達數(shù)千臺。先后出現(xiàn)兩次失陷高峰，一次在7月3號，一次在7月7號。BillGates僵尸網(wǎng)絡在7月1日首先發(fā)起攻擊，7月4日Mirai僵尸網(wǎng)絡木馬攻擊的規(guī)模更大，已部署騰訊云防火墻的云主機成功防御此輪攻擊。

BillGates僵尸網(wǎng)絡與Mirai僵尸網(wǎng)絡木馬為存在多年十分活躍的僵尸網(wǎng)絡家族，這兩個僵尸網(wǎng)絡家族多用高危漏洞利用做為入侵手段，騰訊安全研究人員發(fā)現(xiàn)這兩個團伙正在利用YAPI接口管理平臺遠程代碼執(zhí)行漏洞發(fā)起攻擊，目前該漏洞暫無補丁，處于0day狀態(tài)。

YAPI接口管理平臺是國內(nèi)某旅行網(wǎng)站的大前端技術中心開源項目，使用mock數(shù)據(jù)/腳本作為中間交互層，為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務，該系統(tǒng)被國內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。騰訊安全網(wǎng)絡空間測繪數(shù)據(jù)顯示，國內(nèi)采用YAPI接口管理平臺的服務器上萬臺，主要分布于浙江、北京、上海、廣東等省市(占比超過80%)。

因YAPI遠程代碼執(zhí)行0day漏洞暫無補丁，BillGates僵尸網(wǎng)絡與Mirai僵尸網(wǎng)絡木馬家族主要利用受控主機進行DDoS攻擊、留置后門或進行挖礦作業(yè)。騰訊安全專家建議采用YAPI接口管理平臺的政企機構盡快采取以下措施緩解漏洞風險：

部署騰訊云防火墻實時攔截威脅;

關閉Y

API

用戶注冊功能，以阻斷攻擊者注冊;

刪除惡意已注冊用戶，避免攻擊者再次添加mock腳本;

刪除惡意mock腳本，防止再被訪問觸發(fā);

服務器回滾快照，可清除利用漏洞植入的后門。

騰訊安全威脅情報系統(tǒng)已支持自動化輸出告警事件詳細分析報告，方便安全運維人員獲得更豐富的情報信息，以便對告警事件進行回溯處置。

騰訊安全旗下全系列產(chǎn)品已經(jīng)支持對YAPI接口管理平臺遠程代碼執(zhí)行漏洞的利用進行檢測防御：

二、騰訊安全解決方案

BillGates家族與Mirai家族相關威脅數(shù)據(jù)已加入騰訊安全威脅情報，賦能給騰訊全系列安全產(chǎn)品，企業(yè)客戶通過訂閱騰訊安全威脅情報產(chǎn)品，可以讓全網(wǎng)所有安全設備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。

騰訊安全威脅情報中心檢測到利用YAPI接口管理平臺遠程代碼執(zhí)行漏洞發(fā)起的攻擊活動已影響數(shù)千臺未部署任何安全防護產(chǎn)品的云主機，騰訊安全專家建議政企機構公有云系統(tǒng)部署騰訊云防火墻、騰訊主機安全(云鏡)等產(chǎn)品檢測防御相關威脅。

騰訊云防火墻支持檢測攔截利用YAPI接口管理平臺遠程代碼執(zhí)行漏洞發(fā)起的攻擊活動。騰訊云防火墻內(nèi)置虛擬補丁防御機制，可積極防御某些高危且使用率很高的漏洞利用。

已部署騰訊主機安全(云鏡)的企業(yè)客戶可以通過高危命令監(jiān)控發(fā)現(xiàn)，騰訊主機安全(云鏡)可對攻擊過程中產(chǎn)生得木馬落地文件進行自動檢測，客戶可登錄騰訊云->主機安全控制臺，檢查病毒木馬告警信息，將惡意木馬一鍵隔離或刪除?？蛻艨赏ㄟ^騰訊主機安全的漏洞管理、基線管理功能對網(wǎng)絡資產(chǎn)進行安全漏洞檢測和弱口令檢測。

私有云客戶可通過旁路部署騰訊高級威脅檢測系統(tǒng)(NTA、御界)進行流量檢測分析，及時發(fā)現(xiàn)黑客團伙利用漏洞對企業(yè)私有云的攻擊活動。騰訊高級威脅檢測系統(tǒng)(NTA、御界)可檢測到利用YAPI接口管理平臺遠程代碼執(zhí)行漏洞發(fā)起的惡意攻擊活動。

企業(yè)客戶可通過旁路部署騰訊天幕(NIPS)實時攔截利用YAPI接口管理平臺遠程代碼執(zhí)行漏洞的網(wǎng)絡通信連接，徹底封堵攻擊流量。騰訊天幕(NIPS)基于騰訊自研安全算力算法PaaS優(yōu)勢，形成具備萬億級海量樣本、毫秒級響應、自動智能、安全可視化等能力的網(wǎng)絡邊界協(xié)同防護體系。

三、YAPI接口管理平臺0day漏洞分析

YAPI接口管理平臺是某互聯(lián)網(wǎng)企業(yè)大前端技術中心開源項目，使用mock數(shù)據(jù)/腳本作為中間交互層，為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務。該平臺被國內(nèi)眾多知名互聯(lián)網(wǎng)企業(yè)所采用。

其中mock數(shù)據(jù)通過設定固定數(shù)據(jù)返回固定內(nèi)容，對于需要根據(jù)用戶請求定制化響應內(nèi)容的情況mock腳本通過寫JS腳本的方式處理用戶請求參數(shù)返回定制化內(nèi)容，本次漏洞就是發(fā)生在mock腳本服務上。

由于mock腳本自定義服務未對JS腳本加以命令過濾，用戶可以添加任何請求處理腳本，因此可以在腳本中植入命令，等用戶訪問接口發(fā)起請求時觸發(fā)命令執(zhí)行。

該漏洞暫無補丁，建議受影響的企業(yè)參考以下方案緩解風險：

部署騰訊云防火墻實時攔截威脅;

關閉Y

API

用戶注冊功能，以阻斷攻擊者注冊;

刪除惡意已注冊用戶，避免攻擊者再次添加mock腳本;

刪除惡意mock腳本，防止再被訪問觸發(fā);

服務器回滾快照，可清除利用漏洞植入的后門。

四、詳細分析

攻擊腳本

攻擊者首先注冊功能先注冊賬號，登錄賬號后才能自定義mock腳本。

攻擊者通過mock腳本中植入惡意命令，待用戶訪問mock接口發(fā)起請求時觸發(fā)命令執(zhí)行。

木馬文件

7.1號以來主機側累計利用該漏洞捕獲到的木馬文件：

木馬文件詳細信息：

本次攻擊投遞的木馬文件未發(fā)現(xiàn)新變種，但漏洞利用速度極快7.2號出現(xiàn)攻擊事件之后，短短一周已有上千臺主機失陷，目前官方尚無補丁可用，受影響的客戶需要在主機側關閉用戶注冊與腳本添加權限，已失陷主機需盡快回滾服務器快照。

BillGates僵尸網(wǎng)絡木馬及Mirai僵尸網(wǎng)絡木馬和以往的版本并無差異，這里不再贅述。

威脅視角看攻擊行為

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）