速修!海康威视综合安防RCE已被用于勒索
原创 微步情报局 微步在线研究响应中心 2023-11-17 15:29
01 漏洞概况****
近日,
微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞(XVE-2023-23734)开展大规模勒索攻击。
攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高。该漏洞非0day,海康威视已于2023年6月修复。
目前公网仍有部分资产尚未修复,建议还没处置该漏洞的客户,立即处置!
02 漏洞处置优先级(VPT)
综合处置优先级:
极高
|
漏洞编号
|
微步编号
|
XVE-2023-23734
|
|
漏洞评估
|
危害评级
|
高危
|
|
漏洞类型
|
|
|
公开程度
|
PoC未公开
|
|
利用条件
|
|
|
交互要求
|
0-click
|
|
威胁类型
|
远程
|
|
利用情报
|
微步已捕获攻击行为
|
|
|
影响产品
|
产品名称
|
|
|
受影响版本
|
1. 海康威视 iVMS-8700 V2.0.0 – V2.9.2
2. 海康威视 iSecure Center V1.0.0 – V1.7.0
|
|
影响范围
|
万级
|
|
有无修复补丁
|
有
|
03 漏洞复现 04 修复方案 1、官方修复方案:及时联系官方获取更新补丁https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/2、临时修复方案:在未升级的情况下,停止将相关平台开放到互联网。3、注意勒索攻击(1)对所有办公/生产终端设备,内部的服务器进行排查。重点关注新创建的文件,尤其是安装综合安防管理平台 Tomcat 目录下是否存在Webshell文件;(2)建立重要业务数据的定期备份机制,并做好权限隔离,防止勒索软件对备份数据进行加密;(3)加强办公终端、生产服务器网络安全防护,加强内外网的威胁监控尤其是失陷监控。可通过微步TDP 进行实时监控,及时发现内网失陷主机;(4)对于来源不明的软件或者文档,可以上传微步云沙箱 s.threatbook.cn 进行多引擎查杀,避免漏报。该平台可进行免费多引擎查杀和样本分析。05 微步在线产品侧支持情况 微步在线威胁感知平台TDP已支持检测,规则ID为S3100125069、S3100125074。微步在线安全情报网关OneSIG已支持防护,规则ID为3100125069。—End—微步漏洞情报订阅服务微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。X 漏洞奖励计划“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。