【安全公告】Windows 远程桌面服务(RDP)漏洞风险通告

近日,微软官方发布安全补丁,修复了 Windows 远程桌面服务(RDP)的远程代码执行漏洞 CVE-2019-0708,此漏洞是预身份验证且无需用户交互(无需验证系统账户密码)下即可远程触发,这就意味着这个漏洞可以通过网络蠕虫的方式被利用,影响极大。

影响范围:
该漏洞影响了如下 Windows Server 系统:
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003

注意事项:
1. 请勿在公网开放 Windows 远程桌面服务(RDP),即 3389 端口。如必须开放,请升级之后再开放,并增加必要的防火墙安全策略。
2. 青云会定期给客户发送高危端口开放的风险提示,请大家关注并根据邮件指引采取相应措施。

修复办法:
微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

参考资料:
[CVE-2019-0708]
(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)

针对近期爆出 runc 容器逃逸漏洞的安全警示及防范建议

尊敬的用户:

针对近期暴露的 runc 容器逃逸漏洞,青云 QingCloud 一直在密切观察和研究,同时与您同步以下信息并期望获得您的重视:

什么是 runc

Runc 是一个根据 OCI (Open Container Initiative) 标准构建的并运行容器的底层工具,诸如 Docker,Containerd 以及 CRI-O 都以其为底层核心去处理数据的格式化和序列化。而 Kubernetes 作为容器调度管理平台基于这些容器运行环境,也受到了此漏洞的影响。

此漏洞(CVE-2019-5736)可能会造成的影响

引自 runc 团队的 Aleksa Sarai 的解释(翻译稿):“此项安全漏洞允许恶意容器(在最低用户交互等级下)覆盖主机 runc 二进制文件,这意味着攻击者将借此获得在主机上以 root 层级执行代码的权限。”

“具体来讲,攻击者能够利用一套其可以控制的镜像创建新的容器,或者是向其能够访问的现有容器之内添加 docker exec 文件。在这类情况下的任意容器当中,该攻击者都将能够通过当前用户交互等级以 root 权限运行任意命令(无论命令本身是否由攻击者所控制)。”

 

降低风险以及规避漏洞的建议

  • 严格控制集群的外网访问权限
  • 不下载和运行来历不明的容器镜像
  • 以 non-0 方式运行容器镜像(在 securityContext 中配置 runAsUser)
    apiVersion: v1
    kind: Pod
    metadata:
      name: run-as-uid-1000
    spec:
      securityContext:
        runAsUser: 1000
      # ...
  • 升级 docker 或者 runc
    升级 Docker 至 18.06.2,可参考官方文档(注意:此版本仅兼容 4.x 内核,请谨慎升级)
    runc 升级参考:
    1. 定位 runc 的执行文件位置:

    which docker-runc

    2. 备份此文件:

    mv /usr/bin/docker-runc /usr/bin/docker-runc.bak.$(date -Iseconds)

    3. 获取对应 OS 和 docker 版本的 runc 执行文件,并复制到相应目录:

    cp runc-v18.06.1-amd64 /usr/bin/docker-runc

    4. 确保 docker-runc 具有可执行权限:

    chmod +x /usr/bin/docker-runc

    5. 验证其能否正常工作:

    docker-runc -v
    docker run -it --rm ubuntu echo OK

在以上配置升级过程中碰到任何问题,您可联系青云客服获取我们的支持。

青云 QingCloud 平台可能受影响的服务及产品

公有云容器服务:Kubernetes On QingCloud

容器产品:KubeSphere

我们容器团队会在近期发布 Kubernetes On QingCloud 以及 KubeSphere 的升级版本进行漏洞修复。

关于公网开放高危端口的风险通告

尊敬的用户:

近期,我们发现有用户因为公网开放了高危端口,导致被不法分子入侵,使得用户的业务和数据受损。请您务必对防火墙进行排查,关闭对应的高危端口。需要开放访问的高危端口建议通过 VPN/IPSec 等隧道方式进行访问。对于必须在公网上直接开放的端口,建议在防火墙加入 IP 白名单保护,同时配置必要的安全策略。

以下为常见的高危端口,供参考:

TCP 端口:
SSH:22
Windows:3389
MySQL:3306
PostgreSQL:5432
MongoDB:27017
ElasticSearch:9200/9300
Redis:6379
Zookeeper:2181
Kafka:9092
Hadoop:50070/8088
Spark:8080
HBase:60010
Hive:10000

UDP 端口:
11211,123,1900,53,161,389,19,137

以下为参考链接:

https://docs.qingcloud.com/product/faq/index.html#如何使用-ssh-密钥来访问主机
https://docs.qingcloud.com/product/security/security_group
https://docs.qingcloud.com/product/network/vpn

有任何需求与建议,请您随时发送工单与我们沟通。

【安全提示】关于对象存储 Bucket 权限设置的安全提示

尊敬的用户:

今天某云计算企业用户被披露因误操作将存储有保密信息的对象存储 Bucket 设置为公众可访问权限,导致保密数据遭泄露。

默认情况下,QingCloud 对象存储服务的 Bucket 权限都是私有的,不会存在类似安全风险。但为避免配置有误,可能遭受类似损失,我们建议您对在 QingCloud 对象存储服务上创建的 Bucket 进行权限检查。如果您的保密数据所在 Bucket 权限为对所有用户可读、可写或可读写状态,建议您确认是否为误操作。如非必要公开,我们建议您将权限修改为私有,防止通过该途径造成数据泄露。

具体操作如下:

1、在控制台左侧导航栏选择对象存储服务,查看你所创建的 Bucket 权限:

2、点击您所创建的 Bucket名称 ,进入设置选项卡,选择访问控制,修改用户权限:

以上信息,请您了解。

青云QingCloud

【安全公告】Memcached 反射攻击安全风险公告

尊敬的用户:

近日利用 Memcached 服务器实施反射型 DDoS 攻击的事件逐渐上升,如果用户的 Memcached 对公网提供服务且开放了 UDP 11211 端口,在没有做安全控制措施的情况下,可能被黑客利用向受害者发送 DDoS 攻击。

青云提供的 Memcached 服务是运行在私有网络中的,默认不向公网开放,不会受到影响,可放心使用。

受影响范围:
用户自建了 Memcached 并对公网提供服务且开放了 UDP 11211 端口。

排查方法:
1. 是否有自建 Memcached 服务。
2. Memcached 服务是否监听了 UDP 11211 端口并通过公网开放。
3. 通过服务器的公网 IP 发送 “echo -en “\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n” | nc -u ip 11211″ 指令,有返回则可能受影响。

修复办法:
1. 修改 Memcached 的配置文件,将 UDP 监听端口改为非 11211 端口。
2. 将 Memcached 部署在 VPC 内部使用,不对公网开放 UDP 11211 端口。
3. 对 Memcached 进行安全加固,启用登录认证等安全功能。

如需其他帮忙,请通过工单与我们联系。

参考资料:
【预警通告】[Memcached DRDos 攻击预警]

【安全公告】关于 Intel CPU 芯片漏洞的安全通告更新

尊敬的用户:

对于近期爆出的 Intel CPU 芯片漏洞的安全问题,青云QingCloud 一直在密切观察和研究,并和 Intel 保持沟通。根据目前最新确认的信息,该漏洞一共有三种利用方式:

1) bounds check bypass [CVE-2017-5753](https://spectreattack.com/spectre.pdf)

2) branch target injection [CVE-2017-5715](https://spectreattack.com/spectre.pdf)

3) rogue data cache load [CVE-2017-5754](https://meltdownattack.com/meltdown.pdf)

对于青云QingCloud 云平台而言,方式 1 和 3 已确定没有影响;方式 2 可能存在安全风险,但截止目前,还没有出现漏洞被利用的案例。针对该漏洞风险,我们已经制定了应对方案,并将于近期对云平台进行在线补丁修复。绝大部分用户对该修复操作将无任何感知,对于可能受到影响的极小部分用户,我们会另行通知。请您持续留意青云QingCloud 的官方通知。

对于用户的虚拟机而言,方式1/2/3都可能产生影响,原理上攻击者可利用漏洞越权获取本地信息。为彻底规避该风险,您需要对操作系统进行补丁更新来完成修复工作。但由于漏洞的利用难度较高,请您根据自身业务情况决定是否需要立即升级修复漏洞。待主流的操作系统厂商提供正式补丁之后,青云QingCloud 会第一时间提供最新的模板。

关于此次漏洞的修复进展,请留意青云QingCloud 的官方通知,我们会第一时间更新。有任何问题,请随时通过工单与我们联系。

青云QingCloud

【安全公告】关于 Intel CPU 芯片漏洞的安全通告

尊敬的用户

对于近期爆出的 Intel CPU 芯片漏洞的安全问题青云QingCloud 已经收到正式通知并正在采用各种积极措施确保用户不会受其影响。

因各云平台采用了不同的虚拟化技术该漏洞影响程度可能不同。根据目前可以确认的信息青云云平台暂未受到确定的影响也没有任何信息表明已有用户因此受到攻击威胁。我们仍在密切观察并与 Intel 保持持续沟通待有进一步信息确认我们会及时通知用户。请您留意青云QingCloud 的官方通知。

青云QingCloud

【安全公告】Linux 内核 “Phoenix Talon” 漏洞风险通告

近日,启明星辰 ADLab 发现了 Linux 内核存在远程漏洞 “Phoenix Talon”,涉及 CVE-2017-8890、CVE-2017-9075、CVE-2017-9076、CVE-2017-9077,可影响几乎所有 Linux kernel 2.5.69 ~ Linux kernel 4.11 的内核版本、对应的发行版本以及相关国产系统。请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

我们第一时间对漏洞进行了分析研究,这四个相关的 CVE 均为 double free 相关。因此如果触发了这些漏洞,最直接的结果是导致系统宕机。如果被黑客利用,可能会导致 DOS 攻击或其它未知风险。具体的触发条件整理如下:

触发条件:
1. CVE-2017-8890
当使用传输层 TCP 协议,并在服务端 socket 设置了 MCAST_JOIN_GROUP 选项时,可能会在 TCP 的连接处理中触发 double free。
2. CVE-2017-9075,CVE-2017-9076,CVE-2017-9077
当使用传输层 SCTP/DCCP 协议及网络层 IPv6 协议,可能会在连接处理中触发 double free。

注意事项:
1. 经过对漏洞的分析,除 CVE-2017-8890 以外,只要用户未使用传输层 SCTP/DCCP 及网络层 IPv6 协议即不会受到影响;而对于 CVE-2017-8890,只要服务程序在建立 socket 时未使用 MCAST_JOIN_GROUP 功能选项也不会受到影响。所以对于未满足以上条件的用户,大家可以放心使用。
2. 如果您的服务程序有使用 MCAST_JOIN_GROUP 功能选项,或者有使用传输层 SCTP/DCCP 协议及网络层 IPv6 协议,请更新最新内核版本或通过 livepatch 进行补丁操作。

Patch 链接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=657831ffc38e30092a2d5f03d385d710eb88b09a
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=fdcee2cbb8438702ea1b328fb6e0ac5e9a40c7f8
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52

参考资料:
http://www.csdn.net/article/a/2017-06-16/15928962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8890
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9075
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9076
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9077

【安全公告】Samba 远程命令执行漏洞风险通告

2017 年 5 月 24 日,Samba 官方发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号为 CVE-2017-7494,漏洞影响了 Samba 3.5.0 之后到 4.6.4/4.5.10/4.4.14 中间的所有版本。该漏洞可能会影响开启了 Samba 服务的 Linux 主机,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

漏洞利用条件:
1. 服务器打开了文件/打印机共享端口 445,让其能够在公网上访问
2. 共享文件拥有写入权限
3. 恶意攻击者需猜解 Samba 服务端共享目录的物理路径

注意事项:
1. 请检查青云的防火墙规则,如果打开了 445 等危险端口,建议关闭。其他危险端口参见 【安全公告】Windows 勒索软件病毒风险通告
2. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙,请放心使用。

修复办法:
如果您启用了 Samba 服务,并开放了 445 端口,那么可以考虑通过以下办法修复:
1. 安装补丁或者升级到 Samba 4.6.4/4.5.10/4.4.14 任意版本。
2. 如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在 smb.conf 的 [global] 节点下增加 “nt pipe support = no” 选项,然后重新启动 Samba 服务。

参考资料:
【漏洞预警】Samba远程代码执行漏洞,影响7年前版本
【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析

【安全公告】Windows 勒索软件病毒风险通告

近期全球爆发了多起较大规模的 Windows 勒索软件病毒攻击事件众多 Windows 系统用户受到影响。

该勒索来自一款名为 “WannaCry” 的软件木马),通过 Windows 系统的 SMB 服务器漏洞进行入侵会导致磁盘文件被病毒加密对用户数据造成严重损失。请可能被漏洞影响的用户仔细阅读本文并做相应的处理。

注意事项

  1. 请检查青云的防火墙规则如果打开了 1351371381394453389 等危险端口建议关闭。
  2.  定期升级微软发布的安全补丁微软已经于 2017 3 14 日发布了 MS17-010安全补丁
  3. 如果必须打开 3389 端口建议仅在必须使用的时候打开其他时间请禁用。推荐您直接使用青云提供的 VNC 来访问此访问方式经过加密保证安全。
  4. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙请放心使用。

参考资料

Microsoft 安全公告 MS17-010 – 严重
WannaCry ransomware used in widespread attacks all over the world
如何看待 5 12 号爆发在各高校的电脑勒索比特币的病毒