漏洞情报|YAPI远程代码执行0day漏洞风险预警

2021-07-12 12:40:47 浏览数 (1)

近日,腾讯主机安全(云镜)捕获到YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,大量未部署任何安全防护系统的云主机已经失陷。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。

风险等级

高(已捕获到大量在野利用)

漏洞风险

攻击者利用该漏洞可远程执行任意代码

影响版本

目前为0day状态,官方暂未发布补丁,影响所有版本

安全版本

目前为0day状态,官方暂未发布补丁

修复建议

该漏洞暂无补丁,建议受影响的用户参考以下方案缓解风险: 1.部署腾讯云防火墙实时拦截威胁; 2.关闭YAPI用户注册功能,阻断攻击者注册; 3.删除恶意已注册用户,避免攻击者再次添加mock脚本; 4.删除恶意mock脚本,防止被再次访问触发;

【备注】:建议您在升级前做好数据备份工作,避免出现意外

腾讯云安全解决方案

- 腾讯云防火墙已支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。 - 已部署腾讯主机安全(云镜)的客户可以通过高危命令监控发现,腾讯主机安全(云镜)可对攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。 - 私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。 - 企业客户可通过旁路部署腾讯天幕(NIPS)实时拦截利用YAPI接口管理平台远程代码执行漏洞的网络通信连接,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

漏洞参考

官方安全公告:

https://cloud.tencent.com/announce/detail/1546

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

关注云鼎实验室,获取更多安全情报

0 人点赞