事件概述
我们捕获了利用Couchdb权限绕过漏洞的攻击行为,攻击者通过创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序。
CVE--2017-12635 和 CVE-2017-12636
下面简单介绍一下利用的两个漏洞。
Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。
CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。
CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。
事件分析
1.创建管理员
因为任意命令执行漏洞需要登录用户方可触发,所以先利用CVE-2017-12635先增加一个管理员用户,主要操作如下:
发送包含两个roles的数据包,即可绕过限制,成功创建管理员,账户密码均为:wooyun1.访问http://**.213.63.***:5984/_utils/,可以看到已经存在用户名为wooyun1账号:
2.执行任意命令
利用任意命令执行漏洞执行的主要操作如下:
可以看到利用漏洞执行wget和curl命令从http://***.99.142.232:8220/下载了两个bash脚本,5.sh和2.sh.
功能都是再执行wget或者curl命令下载并执行一个.jpg文件, 查看logo3.jpg和logo4.jpg实质上都是bash脚本,主要内容如下:
主要功能是从http://***.99.142.232:8220下载一个配置文件1.json 并重命名,下载了rig、rig1、rig2三个样本并重命名,赋予了可执行权限,然后获取了受害主机的cpu核数,把配置文件内容和cpu核数作为参数执行suppoie这个程序
config.json 内容如下:
根据配置文件内容判断这是一个门罗币的挖矿样本,使用的是XMRig开源程序,查了一下这个钱包地址帐户因僵尸网络活动报告而被暂停。
脚本中出现的三个样本hash分别为:
4f0bbc485050485cf7799c0547ac2678dbe16b41e4d124e5fc2ffbeb62a46f6d
53505d1bdecdd2fb71d634dd1f7935ed8b099b87369c416bca7afa36cb3c7335
e2a28a51dae1627a4eb76d25dafd6140c52a88885e3cca66309e70cf7fa65cdd
在virustotal上查询了这三个样本,第一次上传是在3月25号,在12小时前还被重新上传分析,判断这个样本近期非常活跃:
-END-
领取专属 10元无门槛券
私享最新 技术干货