关于公网开放高危端口的风险通告

尊敬的用户:

近期,我们发现有用户因为公网开放了高危端口,导致被不法分子入侵,使得用户的业务和数据受损。请您务必对防火墙进行排查,关闭对应的高危端口。需要开放访问的高危端口建议通过 VPN/IPSec 等隧道方式进行访问。对于必须在公网上直接开放的端口,建议在防火墙加入 IP 白名单保护,同时配置必要的安全策略。

以下为常见的高危端口,供参考:

TCP 端口:
SSH:22
Windows:3389
MySQL:3306
PostgreSQL:5432
MongoDB:27017
ElasticSearch:9200/9300
Redis:6379
Zookeeper:2181
Kafka:9092
Hadoop:50070/8088
Spark:8080
HBase:60010
Hive:10000

UDP 端口:
11211,123,1900,53,161,389,19,137

以下为参考链接:

https://docs.qingcloud.com/product/faq/index.html#如何使用-ssh-密钥来访问主机
https://docs.qingcloud.com/product/security/security_group
https://docs.qingcloud.com/product/network/vpn

有任何需求与建议,请您随时发送工单与我们沟通。

【安全提示】关于对象存储 Bucket 权限设置的安全提示

尊敬的用户:

今天某云计算企业用户被披露因误操作将存储有保密信息的对象存储 Bucket 设置为公众可访问权限,导致保密数据遭泄露。

默认情况下,QingCloud 对象存储服务的 Bucket 权限都是私有的,不会存在类似安全风险。但为避免配置有误,可能遭受类似损失,我们建议您对在 QingCloud 对象存储服务上创建的 Bucket 进行权限检查。如果您的保密数据所在 Bucket 权限为对所有用户可读、可写或可读写状态,建议您确认是否为误操作。如非必要公开,我们建议您将权限修改为私有,防止通过该途径造成数据泄露。

具体操作如下:

1、在控制台左侧导航栏选择对象存储服务,查看你所创建的 Bucket 权限:

2、点击您所创建的 Bucket名称 ,进入设置选项卡,选择访问控制,修改用户权限:

以上信息,请您了解。

青云QingCloud

【安全公告】Memcached 反射攻击安全风险公告

尊敬的用户:

近日利用 Memcached 服务器实施反射型 DDoS 攻击的事件逐渐上升,如果用户的 Memcached 对公网提供服务且开放了 UDP 11211 端口,在没有做安全控制措施的情况下,可能被黑客利用向受害者发送 DDoS 攻击。

青云提供的 Memcached 服务是运行在私有网络中的,默认不向公网开放,不会受到影响,可放心使用。

受影响范围:
用户自建了 Memcached 并对公网提供服务且开放了 UDP 11211 端口。

排查方法:
1. 是否有自建 Memcached 服务。
2. Memcached 服务是否监听了 UDP 11211 端口并通过公网开放。
3. 通过服务器的公网 IP 发送 “echo -en “\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n” | nc -u ip 11211″ 指令,有返回则可能受影响。

修复办法:
1. 修改 Memcached 的配置文件,将 UDP 监听端口改为非 11211 端口。
2. 将 Memcached 部署在 VPC 内部使用,不对公网开放 UDP 11211 端口。
3. 对 Memcached 进行安全加固,启用登录认证等安全功能。

如需其他帮忙,请通过工单与我们联系。

参考资料:
【预警通告】[Memcached DRDos 攻击预警]

【安全公告】关于 Intel CPU 芯片漏洞的安全通告更新

尊敬的用户:

对于近期爆出的 Intel CPU 芯片漏洞的安全问题,青云QingCloud 一直在密切观察和研究,并和 Intel 保持沟通。根据目前最新确认的信息,该漏洞一共有三种利用方式:

1) bounds check bypass [CVE-2017-5753](https://spectreattack.com/spectre.pdf)

2) branch target injection [CVE-2017-5715](https://spectreattack.com/spectre.pdf)

3) rogue data cache load [CVE-2017-5754](https://meltdownattack.com/meltdown.pdf)

对于青云QingCloud 云平台而言,方式 1 和 3 已确定没有影响;方式 2 可能存在安全风险,但截止目前,还没有出现漏洞被利用的案例。针对该漏洞风险,我们已经制定了应对方案,并将于近期对云平台进行在线补丁修复。绝大部分用户对该修复操作将无任何感知,对于可能受到影响的极小部分用户,我们会另行通知。请您持续留意青云QingCloud 的官方通知。

对于用户的虚拟机而言,方式1/2/3都可能产生影响,原理上攻击者可利用漏洞越权获取本地信息。为彻底规避该风险,您需要对操作系统进行补丁更新来完成修复工作。但由于漏洞的利用难度较高,请您根据自身业务情况决定是否需要立即升级修复漏洞。待主流的操作系统厂商提供正式补丁之后,青云QingCloud 会第一时间提供最新的模板。

关于此次漏洞的修复进展,请留意青云QingCloud 的官方通知,我们会第一时间更新。有任何问题,请随时通过工单与我们联系。

青云QingCloud

【安全公告】关于 Intel CPU 芯片漏洞的安全通告

尊敬的用户

对于近期爆出的 Intel CPU 芯片漏洞的安全问题青云QingCloud 已经收到正式通知并正在采用各种积极措施确保用户不会受其影响。

因各云平台采用了不同的虚拟化技术该漏洞影响程度可能不同。根据目前可以确认的信息青云云平台暂未受到确定的影响也没有任何信息表明已有用户因此受到攻击威胁。我们仍在密切观察并与 Intel 保持持续沟通待有进一步信息确认我们会及时通知用户。请您留意青云QingCloud 的官方通知。

青云QingCloud

【安全公告】Linux 内核 “Phoenix Talon” 漏洞风险通告

近日,启明星辰 ADLab 发现了 Linux 内核存在远程漏洞 “Phoenix Talon”,涉及 CVE-2017-8890、CVE-2017-9075、CVE-2017-9076、CVE-2017-9077,可影响几乎所有 Linux kernel 2.5.69 ~ Linux kernel 4.11 的内核版本、对应的发行版本以及相关国产系统。请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

我们第一时间对漏洞进行了分析研究,这四个相关的 CVE 均为 double free 相关。因此如果触发了这些漏洞,最直接的结果是导致系统宕机。如果被黑客利用,可能会导致 DOS 攻击或其它未知风险。具体的触发条件整理如下:

触发条件:
1. CVE-2017-8890
当使用传输层 TCP 协议,并在服务端 socket 设置了 MCAST_JOIN_GROUP 选项时,可能会在 TCP 的连接处理中触发 double free。
2. CVE-2017-9075,CVE-2017-9076,CVE-2017-9077
当使用传输层 SCTP/DCCP 协议及网络层 IPv6 协议,可能会在连接处理中触发 double free。

注意事项:
1. 经过对漏洞的分析,除 CVE-2017-8890 以外,只要用户未使用传输层 SCTP/DCCP 及网络层 IPv6 协议即不会受到影响;而对于 CVE-2017-8890,只要服务程序在建立 socket 时未使用 MCAST_JOIN_GROUP 功能选项也不会受到影响。所以对于未满足以上条件的用户,大家可以放心使用。
2. 如果您的服务程序有使用 MCAST_JOIN_GROUP 功能选项,或者有使用传输层 SCTP/DCCP 协议及网络层 IPv6 协议,请更新最新内核版本或通过 livepatch 进行补丁操作。

Patch 链接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=657831ffc38e30092a2d5f03d385d710eb88b09a
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=fdcee2cbb8438702ea1b328fb6e0ac5e9a40c7f8
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52

参考资料:
http://www.csdn.net/article/a/2017-06-16/15928962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8890
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9075
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9076
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9077

【安全公告】Samba 远程命令执行漏洞风险通告

2017 年 5 月 24 日,Samba 官方发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号为 CVE-2017-7494,漏洞影响了 Samba 3.5.0 之后到 4.6.4/4.5.10/4.4.14 中间的所有版本。该漏洞可能会影响开启了 Samba 服务的 Linux 主机,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

漏洞利用条件:
1. 服务器打开了文件/打印机共享端口 445,让其能够在公网上访问
2. 共享文件拥有写入权限
3. 恶意攻击者需猜解 Samba 服务端共享目录的物理路径

注意事项:
1. 请检查青云的防火墙规则,如果打开了 445 等危险端口,建议关闭。其他危险端口参见 【安全公告】Windows 勒索软件病毒风险通告
2. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙,请放心使用。

修复办法:
如果您启用了 Samba 服务,并开放了 445 端口,那么可以考虑通过以下办法修复:
1. 安装补丁或者升级到 Samba 4.6.4/4.5.10/4.4.14 任意版本。
2. 如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在 smb.conf 的 [global] 节点下增加 “nt pipe support = no” 选项,然后重新启动 Samba 服务。

参考资料:
【漏洞预警】Samba远程代码执行漏洞,影响7年前版本
【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析

【安全公告】Windows 勒索软件病毒风险通告

近期全球爆发了多起较大规模的 Windows 勒索软件病毒攻击事件众多 Windows 系统用户受到影响。

该勒索来自一款名为 “WannaCry” 的软件木马),通过 Windows 系统的 SMB 服务器漏洞进行入侵会导致磁盘文件被病毒加密对用户数据造成严重损失。请可能被漏洞影响的用户仔细阅读本文并做相应的处理。

注意事项

  1. 请检查青云的防火墙规则如果打开了 1351371381394453389 等危险端口建议关闭。
  2.  定期升级微软发布的安全补丁微软已经于 2017 3 14 日发布了 MS17-010安全补丁
  3. 如果必须打开 3389 端口建议仅在必须使用的时候打开其他时间请禁用。推荐您直接使用青云提供的 VNC 来访问此访问方式经过加密保证安全。
  4. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙请放心使用。

参考资料

Microsoft 安全公告 MS17-010 – 严重
WannaCry ransomware used in widespread attacks all over the world
如何看待 5 12 号爆发在各高校的电脑勒索比特币的病毒

【安全公告】Windows 漏洞攻击风险通告

近日曝出一大批 Windows 远程漏洞利用工具被泄漏,会给使用 Windows 主机的用户造成极大的安全隐患。根据目前的情况,Windows Server 的所有版本都可能受到影响。请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

注意事项:
– 请检查青云的防火墙规则,如果打开了 137、139、445、3389 端口,建议关闭
– 如果必须打开 3389 端口,建议在需要使用的时候打开,其他时间请禁用。更推荐的方式是直接使用青云提供的 VNC 来访问,这个是加密并且是安全的
– 青云的防火墙,默认情况下不会开启这些有风险的端口。所以如果你没有变更过防火墙,那么就是安全的

参考资料:
https://zhuanlan.zhihu.com/p/26375989
https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

Apache Struts2 远程代码执行漏洞公告

近日,Apache Struts2 爆出远程代码执行漏洞 (CVE-2017-5638),该漏洞存在于 Apache Struts2 的 Jakarta Multipart parser 插件模块,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。漏洞详情请参见:http://www.hack-cn.com/articles/40。请可能受影响的用户尽快升级处理。

影响范围:
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10

检查方法:
http://0day.websaas.com.cn/

修复建议:
升级到 Struts 2.3.32 或 Struts 2.5.10.1

QingCloud 技术团队