Hvv 日记 威胁情报 8.20 (0day预警 - 泛微 e-cology 远程代码执行漏洞)

2024-08-21 18:10:39 浏览数 (2)

零day预警

【漏洞预警】泛微 e-cology 远程代码执行漏洞

一、漏洞概述 泛微 e-cology-10.0 存在远程代码执行漏洞,攻击者可利用其前台获取管理员令牌,借助 JDBC 反序列化漏洞实现远程代码执行。

二、漏洞详解

  1. 获取管理员身份:通过 e-cology-10.0 的 /papi/passport/rest/appThirdLogin 接口传入管理员账号信息获取票据,进而获取 ETEAMSID,获得 sysadmin 管理员身份。
  2. 远程代码执行:系统依赖 H2 数据库且有 JDBC 反序列化漏洞,触发接口为 /api/dw/connSetting/testConnByBasePassword。需先通过 /api/bs/iaauthclient/base/save 接口加载 org.h2.Driver 数据库驱动类,利用管理员身份可执行任意 Java 代码实现远程代码执行。

三、影响范围 泛微 e-cology 10.0 版本。

四、临时措施 因 exp 已公开,若有互联网资产需进行失陷排查。可对 /papi/passport/rest/appThirdLogin?username=sysadmin 配置访问白名单并限制 sysadmin 登陆 IP,在 WAF 中拦截

/papi/passport/rest/appThirdLogin

和 /api/dw/connSetting/testConnByBasePassword 接口。

恶意IP

139.159.156.169

恶意文件

代码语言:javascript复制
52ce45bff1e1cfa73325d1e93f83770b
办公室-应急预案(1).zip

db37c688f0a99bc00a7bfe8f8fa4a493
行业研究岗 杨宁 ****部****技术信息研究所.rar

e84d66ffe0c54e136c3ada8f19118b5 
征求意见反馈单.lnk

19790c1cf7bd6c6a39cc9f66c19b3720
对《石油天然气***固体废物污染控制技术规范》的意见.rar

743ae197146ebfc42511563a43122460
“贤才准聚 绘筑疆来”第二届新疆**州(**)人才交流大会暨****区第六届职业技能大赛业务合作材料.zip

攻击者画像

代码语言:javascript复制
攻击者 IP:117.50.217.215、117.50.217.233、117.50.217.234、117.50.217.189。
威胁等级:高。
最近活跃时间:2024 年 7 月 31 日至 2024 年 8 月 19 日。在这段长达二十天的时间里,该攻击者始终保持着高度的活跃状态,频繁地对目标发起攻击行动,其攻击频率之高令人担忧。
地理位置:中国北京市。这表明攻击者极有可能来自北京市的某个特定区域,然而,仅通过 IP 地址确定其具体位置具有一定难度,但借助先进的 IP 地址溯源技术等手段,或许能够进一步缩小其活动范围。北京市作为国家的政治、文化、国际交往和科技创新中心,网络环境复杂且活跃,攻击者选择在此地发动攻击,可能是出于多种原因,比如利用这里丰富的网络资源、便捷的交通以及先进的技术条件等。
活跃行业:交通运输、能源。攻击者似乎对交通运输和能源行业有着特别浓厚的兴趣,这两个行业在国家经济发展中占据着至关重要的地位。交通运输行业涵盖了公路、铁路、航空、水运等多个领域,涉及大量的物流信息、旅客数据以及交通基础设施的控制信息等。能源行业则包括石油、天然气、煤炭、电力等,这些领域拥有着国家的关键能源资源和重要基础设施,一旦遭到攻击,可能会对国家的能源安全和经济稳定造成严重影响。攻击者对这两个行业的关注,可能是出于商业竞争目的、企图窃取敏感信息以获取非法利益,或者是出于其他恶意企图,其背后的动机值得深入探究。
使用工具:Nmap。Nmap 是一款功能强大的网络扫描工具,它可以用于端口扫描、主机发现、服务识别等多种任务。攻击者使用 Nmap 表明其具备一定的技术水平,能够熟练运用专业工具进行网络侦察。端口扫描可以帮助攻击者了解目标系统开放的端口,从而推断出可能运行的服务和潜在的漏洞。主机发现功能则可以让攻击者确定目标网络中的活跃主机,为后续的攻击行动提供目标清单。服务识别则可以帮助攻击者了解目标系统上运行的服务类型,以便针对性地制定攻击策略。
能力评价:专项期间新启用多个基础设施,这显示出攻击者具有较强的资源调配能力和组织能力。他们能够迅速部署新的基础设施,为攻击行动提供支持,这表明他们可能拥有一定的技术团队和资源支持。对物流、航空、石化、核电等目标具有极强针对性,说明攻击者对特定行业有着深入的了解,并且有明确的攻击目标。他们可能对这些行业的网络架构、业务流程以及安全防护措施进行了深入研究,以便能够更加有效地实施攻击。使用了某安全厂商扫描器,进一步增强了其攻击能力,能够对相关目标发起端口扫描、敏感目录扫描等信息收集操作。这些操作可能为后续的攻击行动提供重要的情报支持,使攻击者能够更好地了解目标系统的弱点和漏洞,从而制定更加精准的攻击策略。
近期攻击行为:端口扫描、目录扫描。端口扫描是攻击者常用的一种侦察手段,通过扫描目标系统开放的端口,攻击者可以了解目标系统上运行的服务,从而寻找潜在的漏洞和攻击入口。例如,如果发现目标系统开放了远程桌面服务的端口,攻击者可能会尝试利用远程桌面服务的漏洞进行攻击。目录扫描则可以帮助攻击者发现目标系统中的敏感文件和目录,为进一步的攻击提供线索。如果攻击者发现了目标系统中的配置文件、数据库文件或者其他敏感信息,他们可能会尝试利用这些信息进行进一步的攻击,比如获取数据库中的用户信息、修改系统配置等。
代码语言:javascript复制
攻击者 IP:43.138.158.124。
威胁等级:中。
最近活跃时间:2024 年 8 月 12 日。在这一天,该攻击者表现出活跃的攻击行为,其行动的时间选择可能具有一定的策略性。或许他们认为在这一天目标系统的防护相对较弱,或者是有其他特定的时机因素促使他们选择在这一天发动攻击。
地理位置:中国广东省广州市。具体的攻击地点可能在广州市的某个区域,这为后续的追踪和防范提供了一定的线索。广州市作为中国南方的重要经济中心和交通枢纽,拥有着发达的信息技术产业和庞大的网络用户群体。攻击者选择在这里发动攻击,可能是利用了当地的网络环境和技术资源。同时,广州市的网络安全监管部门也可以根据这个线索,加强对本地网络的安全监测和防范措施。
活跃行业:金融。金融行业通常拥有大量的敏感信息和资金,因此成为攻击者的重要目标。金融行业的信息系统涉及客户的个人信息、财务数据、交易记录等敏感信息,一旦遭到攻击,可能会导致客户信息泄露、资金损失等严重后果。攻击者对金融行业的关注,可能是出于经济利益的驱动,试图窃取客户的资金或者敏感信息以获取非法利益。
使用工具:ARL 资产侦察灯塔系统。该工具可以帮助攻击者快速发现目标系统中的资产信息,包括 IP 地址、端口、服务等,为攻击提供便利。ARL 资产侦察灯塔系统是一种专业的网络侦察工具,它可以通过扫描目标网络,自动发现其中的资产信息,并生成详细的报告。攻击者使用这个工具,表明他们具有一定的技术水平和攻击经验,能够利用专业工具进行有针对性的攻击。
能力评价:专项期间新启用基础设施,说明攻击者具有一定的资源和技术实力。他们能够在专项期间快速部署新的基础设施,为攻击行动提供支持,这显示出他们具有较强的组织能力和技术实力。对安徽多个银行目标发起针对性敏感信息扫描,表明攻击者对金融行业的目标有明确的攻击意图,并且能够利用专业工具进行有针对性的攻击。43.138.158.124:5003 部署有 ARL 资产侦察灯塔系统,进一步证实了攻击者的技术手段和攻击能力。他们能够在特定的 IP 地址上部署专业的攻击工具,说明他们对网络攻击技术有一定的了解和掌握。
近期攻击行为:敏感信息扫描。敏感信息扫描是攻击者获取目标系统敏感信息的重要手段,可能包括用户账号、密码、银行卡号等。攻击者通过扫描目标系统,寻找可能存在敏感信息的文件和目录,然后尝试获取这些信息。这种攻击行为对金融行业的安全构成了严重威胁,因为一旦敏感信息被窃取,可能会导致客户的资金损失和个人信息泄露。
代码语言:javascript复制
攻击者 IP:49.233.155.38、106.53.117.188、82.156.243.167、113.6.228.140。
威胁等级:高。
最近活跃时间:2024 年 6 月 2 日至 2024 年 8 月 16 日。在这两个多月的时间跨度内,攻击者持续活跃,不断对目标发起攻击,其攻击的持续性和频繁性令人担忧。
地理位置:中国黑龙江省哈尔滨市。攻击者的地理位置为哈尔滨市,这可能与当地的网络环境、技术资源或者其他因素有关。哈尔滨市作为中国东北地区的重要城市,拥有着一定的信息技术产业和网络用户群体。攻击者选择在这里发动攻击,可能是利用了当地的网络资源和技术条件。同时,哈尔滨市的网络安全监管部门也可以根据这个线索,加强对本地网络的安全监测和防范措施。
活跃行业:政府。政府机构通常拥有大量的敏感信息和重要数据,因此成为攻击者的重要目标。政府机构的信息系统涉及国家机密、政务信息、公民个人信息等敏感内容,一旦遭到攻击,可能会对国家的安全和稳定造成严重影响。攻击者对政府机构的攻击,可能是出于政治目的、企图窃取敏感信息或者破坏政府的正常运转。
能力评价:专项期间前攻击目标为深圳市医疗相关网站,显示出攻击者的攻击范围较为广泛,并且可能具有不同的攻击策略和目的。他们能够对不同地区、不同行业的目标发动攻击,说明他们具有较强的组织能力和技术实力。专项期间攻击的目标多为政府单位,说明攻击者对政府机构的信息安全构成了严重威胁。他们可能对政府机构的网络架构、业务流程以及安全防护措施进行了深入研究,以便能够更加有效地实施攻击。
攻击利用特征:ggg7bj.ceye.io。这个特征可能是攻击者在攻击过程中留下的痕迹,或者是其使用的特定攻击工具或技术的标识。通过对这个特征的分析,可以进一步了解攻击者的攻击手段和行为模式。例如,这个特征可能与某个特定的恶意软件或者攻击工具相关联,通过对这个恶意软件或攻击工具的分析,可以了解攻击者的攻击方法和目的。
近期攻击行为:log4j2 漏洞攻击、目录扫描、api 接口扫描。log4j2 漏洞是一个严重的安全漏洞,攻击者利用这个漏洞可以执行任意代码,对目标系统造成极大的危害。目录扫描和 api 接口扫描则可以帮助攻击者发现目标系统中的敏感信息和漏洞,为进一步的攻击提供线索。攻击者同时使用多种攻击手段,表明他们具有较强的攻击能力和技术水平,能够根据不同的情况选择合适的攻击方法。
代码语言:javascript复制
攻击者 IP:139.224.214.200。
威胁等级:高。
最近活跃时间:2024 年 8 月 13 日至 2024 年 8 月 18 日。在这短短几天里,攻击者表现出高度的活跃性,其攻击行动的密集程度令人担忧。
地理位置:中国上海市。上海作为一个国际化大都市,网络环境复杂且活跃,攻击者可能利用这一特点进行攻击活动。上海市拥有着众多的金融机构、企业总部和科技创新企业,这些目标都可能成为攻击者的潜在目标。同时,上海的网络安全监管部门也面临着更大的挑战,需要加强对本地网络的安全监测和防范措施。
活跃行业:芯片。芯片行业是国家的重要战略产业,攻击者对芯片行业的攻击可能会对国家的经济和安全造成严重影响。芯片行业涉及到国家的核心技术和关键产业,一旦遭到攻击,可能会导致芯片生产中断、技术泄露等严重后果。攻击者对芯片行业的关注,可能是出于商业竞争目的、企图窃取关键技术或者破坏国家的战略产业。
能力评价:专项期间活跃,目的性明确,在白泽视野只发现了一个攻击目标。这表明攻击者具有较高的技术水平和专业能力,能够精准地选择攻击目标,并且采取有效的攻击手段。他们可能对目标进行了深入的研究和分析,了解其网络架构、业务流程以及安全防护措施,以便能够更加有效地实施攻击。
攻击利用特征:疑似使用自己开发的工具进行漏洞扫描。这显示出攻击者具有较强的技术实力和创新能力,能够开发出专门的攻击工具,提高攻击的成功率。自己开发的工具可能具有更高的隐蔽性和针对性,能够更好地躲避目标系统的安全防护措施。同时,这也表明攻击者对网络攻击技术有着深入的了解和掌握,能够根据不同的情况开发出合适的攻击工具。
近期攻击行为:cve 漏洞攻击、反序列化漏洞、绕过 waf 检测技术、命令注入。这些攻击行为都是较为高级的攻击手段,需要攻击者具备深入的技术知识和丰富的经验。cve 漏洞攻击可以利用已知的安全漏洞对目标系统进行攻击,这些漏洞通常是由安全研究人员发现并公布的,但攻击者能够及时利用这些漏洞进行攻击,说明他们具有较强的信息收集能力和攻击意识。反序列化漏洞可以导致远程代码执行等严重后果,攻击者利用这个漏洞可以在目标系统上执行任意代码,对目标系统造成极大的危害。绕过 waf 检测技术可以使攻击者的攻击行为更加隐蔽,避免被目标系统的 web 应用防火墙检测到。命令注入则可以让攻击者在目标系统上执行任意命令,从而获取系统的控制权或者窃取敏感信息。
代码语言:javascript复制
攻击者 IP:123.249.75.79。
威胁等级:中。
最近活跃时间:2024 年 8 月 1 日至 2024 年 8 月 18 日。在这段时间里,攻击者保持着一定的活跃度,其攻击行为虽然相对较少,但仍然对目标系统构成了一定的威胁。
地理位置:中国北京市。与对象 1 一样,攻击者可能来自北京市的某个区域。北京市作为国家的政治、文化、国际交往和科技创新中心,网络环境复杂且活跃,攻击者选择在此地发动攻击,可能是出于多种原因,比如利用这里丰富的网络资源、便捷的交通以及先进的技术条件等。
活跃行业:政府。政府机构的信息安全至关重要,攻击者对政府网站的攻击可能会导致敏感信息泄露、系统瘫痪等严重后果。政府机构的信息系统涉及国家机密、政务信息、公民个人信息等敏感内容,一旦遭到攻击,可能会对国家的安全和稳定造成严重影响。
能力评价:专项期间活跃,对受害站点进行信息收集后针对性的进行渗透测试。这表明攻击者具有一定的攻击策略和步骤,先进行信息收集,然后进行渗透测试,逐步深入攻击目标。他们可能使用了各种信息收集工具和技术,比如网络扫描、社会工程学等,获取目标系统的相关信息。然后,根据收集到的信息进行渗透测试,尝试找到目标系统的漏洞和弱点,以便能够进一步实施攻击。
攻击利用特征:攻击数量非常少,且都是针对政府网站进行攻击。这说明攻击者可能比较谨慎,或者是在进行有针对性的攻击,试图获取特定的信息或者达到特定的目的。他们可能选择政府网站作为攻击目标,是因为政府网站通常拥有大量的敏感信息和重要数据,或者是出于政治目的、企图破坏政府的正常运转。
近期攻击行为:shiro 相关漏洞攻击、目录遍历。shiro 相关漏洞攻击可以导致权限绕过等安全问题,攻击者利用这个漏洞可以获取更高的权限,从而对目标系统进行更加深入的攻击。目录遍历则可以让攻击者获取目标系统中的文件和目录信息,为进一步的攻击提供线索。攻击者同时使用这两种攻击手段,表明他们具有一定的攻击能力和技术水平,能够根据不同的情况选择合适的攻击方法。

0 人点赞