【安全公告】Samba 远程命令执行漏洞风险通告

2017 年 5 月 24 日,Samba 官方发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号为 CVE-2017-7494,漏洞影响了 Samba 3.5.0 之后到 4.6.4/4.5.10/4.4.14 中间的所有版本。该漏洞可能会影响开启了 Samba 服务的 Linux 主机,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

漏洞利用条件:
1. 服务器打开了文件/打印机共享端口 445,让其能够在公网上访问
2. 共享文件拥有写入权限
3. 恶意攻击者需猜解 Samba 服务端共享目录的物理路径

注意事项:
1. 请检查青云的防火墙规则,如果打开了 445 等危险端口,建议关闭。其他危险端口参见 【安全公告】Windows 勒索软件病毒风险通告
2. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙,请放心使用。

修复办法:
如果您启用了 Samba 服务,并开放了 445 端口,那么可以考虑通过以下办法修复:
1. 安装补丁或者升级到 Samba 4.6.4/4.5.10/4.4.14 任意版本。
2. 如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在 smb.conf 的 [global] 节点下增加 “nt pipe support = no” 选项,然后重新启动 Samba 服务。

参考资料:
【漏洞预警】Samba远程代码执行漏洞,影响7年前版本
【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析

【安全公告】Windows 勒索软件病毒风险通告

近期全球爆发了多起较大规模的 Windows 勒索软件病毒攻击事件众多 Windows 系统用户受到影响。

该勒索来自一款名为 “WannaCry” 的软件木马),通过 Windows 系统的 SMB 服务器漏洞进行入侵会导致磁盘文件被病毒加密对用户数据造成严重损失。请可能被漏洞影响的用户仔细阅读本文并做相应的处理。

注意事项

  1. 请检查青云的防火墙规则如果打开了 1351371381394453389 等危险端口建议关闭。
  2.  定期升级微软发布的安全补丁微软已经于 2017 3 14 日发布了 MS17-010安全补丁
  3. 如果必须打开 3389 端口建议仅在必须使用的时候打开其他时间请禁用。推荐您直接使用青云提供的 VNC 来访问此访问方式经过加密保证安全。
  4. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙请放心使用。

参考资料

Microsoft 安全公告 MS17-010 – 严重
WannaCry ransomware used in widespread attacks all over the world
如何看待 5 12 号爆发在各高校的电脑勒索比特币的病毒

【安全公告】Windows 漏洞攻击风险通告

近日曝出一大批 Windows 远程漏洞利用工具被泄漏,会给使用 Windows 主机的用户造成极大的安全隐患。根据目前的情况,Windows Server 的所有版本都可能受到影响。请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

注意事项:
– 请检查青云的防火墙规则,如果打开了 137、139、445、3389 端口,建议关闭
– 如果必须打开 3389 端口,建议在需要使用的时候打开,其他时间请禁用。更推荐的方式是直接使用青云提供的 VNC 来访问,这个是加密并且是安全的
– 青云的防火墙,默认情况下不会开启这些有风险的端口。所以如果你没有变更过防火墙,那么就是安全的

参考资料:
https://zhuanlan.zhihu.com/p/26375989
https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

Apache Struts2 远程代码执行漏洞公告

近日,Apache Struts2 爆出远程代码执行漏洞 (CVE-2017-5638),该漏洞存在于 Apache Struts2 的 Jakarta Multipart parser 插件模块,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。漏洞详情请参见:http://www.hack-cn.com/articles/40。请可能受影响的用户尽快升级处理。

影响范围:
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10

检查方法:
http://0day.websaas.com.cn/

修复建议:
升级到 Struts 2.3.32 或 Struts 2.5.10.1

QingCloud 技术团队

Hadoop/HBase/Spark 入侵事件通告

继前一段时间曝出大规模利用 MongoDB 和 ElasticSearch 配置漏洞进行入侵的事件之后,下一个遭遇黑客锁定的目标将包括 Hadoop , 目前已出现灾情。该入侵会给用户的 Hadoop/HBase/Spark 等以 HDFS 为存储的数据造成安全风险,请可能被此安全隐患影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:

用户自建的未配置安全验证的 Hadoop/HBase/Spark 服务,并在公网上开放了三个产品都用到的 HDFS 端口如 50070 和 HBase 的Rest服务端口如 8000。或者通过端口转发,将青云 QingCloud 提供的 Hadoop/HBase/Spark 服务的端口通过路由器、VPC 转发,曝露到公网。

入侵现象:
  • Hadoop/HBase/Spark 数据被清空
  • 留信息勒索比特币
修复办法:
  • 禁止公网开放 Hadoop/HBase/Spark 端口,例如可以在青云 QingCloud 防火墙上禁用 Hadoop/HBase/Spark 的端口,例如 50070 和8000
  • 如果对 Hadoop/HBase/Spark  的端口在路由器、VPC 上进行了端口转发,请删除该转发规则
温馨提示:

青云 QingCloud 提供的 Hadoop/HBase/Spark 服务是运行在私有网络中的,如果用户没有主动设置端口转发将 Hadoop/HBase/Spark  端口在公网曝露,不会受到该安全隐患的影响,请用户放心使用。另外,对于从大数据 Client 客户端主机直接访问 Hadoop/HBase/Spark 集群的用户,也强烈建议将 Client 主机的访问方式由密码改为 SSH Key访问以杜绝其它安全漏洞。

另外,有任何其他问题可以工单与我们联系。

Elasticsearch 入侵事件通告

Elasticsearch 入侵事件通告

继前一段时间曝出大规模利用 MongoDB 配置漏洞进行入侵的事件之后,又曝出大规模利用 Elasticsearch 配置漏洞进行入侵的事件。会给用户的 Elasticsearch 数据造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:
用户自建的未配置安全验证的 Elasticsearch 服务,并在公网上开放了 Elasticsearch 端口,例如 9200。或者通过端口转发,将青云提供的 Elasticsearch 服务的端口通过路由器、VPC转发,曝露到公网。

入侵现象:
  • Elasticsearch 数据被清空
  • 留信息勒索比特币
修复办法:
  • 禁止公网开放 Elasticsearch 端口,例如可以在青云防火墙上禁用 Elasticsearch 的端口,例如 9200
  • 如果对 Elasitcsearch 的端口在路由器、VPC 上进行了端口转发,请删除该转发规则
温馨提示:
青云提供的 Elasticsearch 服务是运行在私有网络中的,如果用户没有主动设置端口转发将 Elasticsearch 端口在公网曝露,不会受到该漏洞的影响,请用户放心使用。
另外,有任何其他问题可以工单与我们联系。

MongoDB 入侵事件通告

近日曝出大规模利用 MongoDB 配置漏洞进行入侵的事件,会给用户的 MongoDB 数据造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:

用户自建的运行了未配置身份验证的 MongoDB 服务,并在公网上开放了 MongoDB 端口,例如 27017

入侵现象:

  • MongoDB 数据被清空
  • MongoDB 运行缓慢

修复办法:

  • 增加 MongoDB 密码验证,参考: https://docs.mongodb.com/manual/tutorial/enable-authentication/
  • 禁止公网开放 MongoDB 端口,例如可以在青云防火墙上禁用 MongoDB 的端口,例如 27017

温馨提示:

青云提供的 MongoDB 服务是运行在私有网络中的,并且已经考虑了安全加固措施,同时配置了身份验证,不会受到该漏洞的影响,请用户放心使用。

另外,有任何其他问题可以工单与我们联系。

【安全公告】Redis Crackit 入侵事件通告

近日曝出大规模利用 Redis 漏洞进行入侵的事件,会给用户的 Redis 运行环境以及 Linux 主机造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:

用户自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 Redis 端口,例如 6379

入侵现象:

  • Redis 可能被执行过 flushall 命令
  • Redis 内建了名为 crackit 的 key
  • Redis 的 dir 参数指向了 /root/.ssh
  • /root/.ssh/authorized_keys 被覆盖或者包含 Redis 相关的内容

修复办法:

  • 以非 root 权限启动 Redis
  • 增加 Redis 密码验证
  • 禁止公网开放 Redis 端口, 例如可以在青云防火墙上禁用 Redis 的端口,例如 6379
  • 检查 authorized_keys 是否非法

温馨提示:

青云提供的 Redis 服务是运行在私有网络中的,并且已经考虑了安全加固措施,同时提供密钥验证的配置,不会受到该漏洞的影响,请用户放心使用。

关于入侵事件的更多详情还可以参见: https://nosec.org/bobao/redis_crackit

另外,有任何其他问题可以工单与我们联系。

QingCloud 技术团队

【安全公告】Microsoft Windows 系统 HTTP.sys 远程执行代码漏洞 (CVE-2015-1635)

微软于2015年4月14日发布 HTTP.sys 远程执行代码漏洞 (CVE-2015-1635) 公告,该漏洞存在 于HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。漏洞 详情请见【1】,漏洞原理分析及重现方法见【2】。

在青云 QingCloud, 该漏洞影响到所有基于以下 Windows 系统映像建立的、且以 IIS 提供web 服务的主机:

  • Windows Server 2008 R2 简体中文 企业版 64位    ID: win2k8r2eechse
  • Windows Server 2008 R2 简体中文 企业版 64位    ID: win2k8r2eechsf
  • Windows Server 2008 R2 英文 企业版 64位           ID: win2k8r2eeend
  • Windows Server 2012 R2 简体中文 标准版 64位    ID: winsrv2012r2chsf
  • Windows Server 2012 R2 简体中文 标准版 64位    ID: winsrv2012r2chse
  • Windows Server 2012 R2 英文 标准版 64位           ID: winsrv2012r2end

我们建议对所有基于以上系统映像创建的、且运行 IIS 的主机,务必做安全更新; 对基于以上映像创建,但不运行 IIS 的 Windows 主机,也建议更新,并关闭 IIS 的监听端口(一般为80)。做完安全更新后须重启主机。

安全更新方案请见【1】,或在主机内部做如下操作:

控制面板—>系统和安全—>更新,然后安装 KB3042553 号补丁。

青云 QingCloud 也会尽快更新所有区受影响的 Windows 系统映像。

【1】https://technet.microsoft.com/zh-cn/library/security/ms15-034.aspx
【2】http://www.freebuf.com/vuls/64195.html

安全公告:GNU Bash 漏洞公告 (CVE-2014-6271, CVE-2014-7169)

发布日期:2014-09-24

CVE ID:CVE-2014-6271,CVE-2014-7169

漏洞描述:

CVE-2014-6271:

攻击者可构造特殊的环境变量值,以在这些环境变量的值中包含特定的代码,当 Shell 对这些环境变量求值时,这些特定的代码将得以在系统中执行。某些服务和应用接受未经身份者提供的环境变量,因此攻击者可利用此漏洞源于在提供这些服务和应用的系统上执行任意的 Shell 命令。

CVE-2014-7169:

因 GNU Bash 允许在环境变量的值中的函数定义,及在函数定义后加入额外的字符串,攻击者可利用此特性在远程写入文件或执行其他可以影响到系统的操作。

以上两漏洞可能会影响到使用 ForceCommand 功能的 OpenSSH sshd; 使用 mod_cgi 或 mod_cgid 的 Apache 服务器; 调用 Shell 配置系统的 DHCP 客户端; 及其他使用 bash 作为解释器的应用等。

注:
1) CVE-2014-7169 的存在是因 CVE-2014-6271 的 Patch 不完整。
2) 关于以上两漏洞的更多详情请见 [1], [2], [3]

问题诊断:

如何确定当前 bash 版本是否有漏洞

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

若输出以下内容

vulnerable
this is a test

则证明系统当前的 Bash 版本存在漏洞。

若输出如下

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

则证明当前的 Bash 已为漏洞修复版本

各系统修补方式:

* CentOS/Fedora/RHEL
# yum install bash

* Debian/Ubuntu
# apt-get update; apt-get install bash

* OpenSUSE
# zypper refresh; zypper update bash

* Archlinux
# pacman -Sy bash

* 若所用发行版本的软件仓库中还没有包含漏洞修复的 Bash 版本,请下载相应版本的源码包及相应的 patch 后,自行编译安装。相应的 patch 可通过以下链接获得:

http://ftp.gnu.org/gnu/bash/bash-${version}-patches/

例如,假设你的系统当前的 Bash 版本为 3.0。则相应的 patch 可通过以下链接获得:

http://ftp.gnu.org/gnu/bash/bash-3.0-patches/

Reference:
[1] https://access.redhat.com/articles/1200223
[2] https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
[3] https://access.redhat.com/security/cve/CVE-2014-7169