点击上方蓝字“Ots安全”一起玩耍
在调查恶意加密挖掘案例时,我发现攻击者利用最近修补的 RCE 漏洞 ( CVE-2022-29464 ) 植入了有效负载,该漏洞影响了多个 WSO2 产品,包括 API Manager。该漏洞由 Orange Tsai 并负责任地向 WSO2 披露。
根据 WSO2 安全公告,“由于用户输入验证不当,恶意行为者可以将任意文件上传到服务器的用户控制位置。通过利用任意文件上传漏洞,可以进一步在服务器上远程执行代码”——这正是发生的事情。植入 webshell 后,攻击者执行 shell 脚本(如下片段)下载并运行 xmrig。
该漏洞于2022年 4 月1日首次发布, 6 天前在 Git-Hub 上发布了概念验证漏洞利用。https://github.com/hakivvi/CVE-2022-29464/blob/main/exploit.py
受影响的产品:
WSO2 API Manager 2.2.0 及更高
版本 WSO2 Identity Server 5.2.0 及更高版本
WSO2 Identity Server Analytics 5.4.0、5.4.1、5.5.0、5.6.0
WSO2 Identity Server as Key Manager 5.3.0 及更高版本
WSO2 Enterprise Integrator 6.2 .0 及以上
WSO2 Open Banking AM 1.4.0 及以上
WSO2 Open Banking KM 1.4.0 及以上
如果你有暴露在互联网上的易受攻击的版本,我建议除了通过 WSO2 推荐的补丁或缓解措施来防范 CVE-2022-29464 漏洞外,检查你的环境是否可能已经受到威胁。
国际奥委会
http://162[.]144.53.108:8080/ldra.sh
http://162[.]144.53.108:8080/jsp_app
23[.]225.191.74
--
Renato Marinho
原文始发于微信公众号(Ots安全):WSO2 RCE 在野外被利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论