- 分类3000+
- 产品3000+
- 服务3000+
- 厂商3000+
- 用户3000+
- 数字化疑难问题大家一起去解决
教育数字化知识图谱
登录查询教育数字化知识信息
打开微信扫一扫
教育数字化知识图谱
打开微信扫一扫
事件描述:
针对近期发生的海康威视综合安防管理平台勒索攻击事件,攻击者利用历史已知的文件上传漏洞上传Webshell获取系统权限,并执行勒索病毒对文件进行加密,加密文件后缀为locked1,同时生成勒索信息文件README2.html。locked1病毒是TellYouThePass勒索家族变种之一,该家族主要通过已公开的Nday或未公开的0day漏洞进行大规模的无差别攻击。此外,TellYouThePass是一个使用Golang语言编写的跨平台勒索病毒,支持对Windows及linux系统文件进行加密,由于使用了RSA非对称加密算法,目前尚无公开的解密密钥或解密方案。
漏洞编号
无
漏洞危害
高危
影响范围
|
受影响的平台 |
受影响版本号 |
|
iVMS-8700 |
V2.0.0 - V2.9.2 |
|
iSecure Center |
V1.0.0 - V1.7.0 |
攻击排查
勒索事件涉及的漏洞为文件上传漏洞,该漏洞由于上传文件接口存在校验
缺陷,导致攻击者可通过上传文件获取Webshell权限,并实现任意命令执行。
1、通过工具或命令行方式,排查综合安防管理平台相关web 目录下是否存
在异常jsp或jspx脚本文件。
windows平台web 目录路径如:
D:\hikvision\web\opsMgrCenter\bin\tomcat\apache-
tomcat\webapps\clusterMgr。
Linux平台web 目录路径如:
/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static或
/opt/opsmgr/web/components/tomcat85linux64.1/webapps/els/static/
2、由于该平台默认并未启用web访问日志,导致无法通过日志对攻击行为
进行分析,如存在第三方的日志平台,可检索相关上传接口是否存在异常请
求,如:①/center/api/files;.js②/center/api/files;.html③
/center/api/files;.png等。
此外,通过平台报错日志@bic.center.error.log,可排查是否存在漏洞利
用痕迹,windows平台日志文件路径如:
D:/hikvision/web/opsMgrCenter/logs/opsmgr_center。
安全建议
1、海康威视已于2023年6月发布了关于文件上传漏洞的安全通告并提供了修复
方案,参考链接如下:
https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotice
检查是否存在海康威视综合安防管理平台,并根据上述官方漏洞通告,及时更新
平台版本修复漏洞。
2、关闭海康威视综合安防管理平台公网映射。
3、海康威视综合安防管理平台历史上还存在多个漏洞且在互联网公开, 建议平台
用户识别并且修复历史漏洞,避免因其他历史漏洞再次被攻击。
4、对综合安防管理平台进行必要的安全加固, 包括降权平台运行账户,以防止攻击者利用web漏洞直接获取主机控制权限;启用web访问日志,以在事后对漏洞利用
及攻击行为进行分析溯源等。
5、面对勒索攻击,在做好安全防护的同时,数据备份是最行之有效的对抗方案,可通过私有云、存储设备、网络同步等方式,定期对重要业务数据进行备份并妥善保
管。
联系人:李世军、张子晨
电话:3010877
教育数字化知识图谱
微信公众号
咨询顾问
Copyright@2024 EduDigital123.COM 教育数字化知识图谱 京公网安备11011502038001 京ICP备2024042673号-3
