一、背景介绍
近日,市委网信办技术支撑单位监测到多起TellYouThePass勒索攻击事件。
1.1 风险描述
TellYouThePass勒索攻击事件,均发现与暴露在公网的海康威视综合安防管理平台相关,涉及海康视频、门禁、停车等多个系统。攻击者利用海康威视综合安防管理平台漏洞获得服务器权限,并执行勒索病毒加密文件。
1.2事件分析
TellYouThePass勒索病毒是一款非Raas的勒索病毒,曾使用永恒之蓝、Apache Log4j2等漏洞进行广泛传播,近期,该勒索病毒再次利用海康威视综合安防管理平台漏洞进行攻击。本次勒索病毒执行加密的文件后缀为 locked1,由于使用了RSA+AES的方式进行加密,暂时无法解密。
二、修复建议
2.1受影响平台及版本
iVMS-8700:V2.0.0 - V2.9.2
iSecure Center:V1.0.0 - V1.7.0
2.2自查方法
排查综合安防管理平台相关 web 目录下是否存在异常 jsp 或 jspx 脚本文件:目前已知的 webshell 路径如下:
路径 1:/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static/
路径 2:/opt/opsmgr/web/components/tomcat85linux64.1/webapps/els/static/
2.3修复建议
1、检查是否存在海康威视综合安防管理平台,并根据上述官方漏洞通告,及时更新平台版本修复漏洞。
2、关闭海康威视综合安防管理平台公网映射。
3、该产品历史上还存在多个漏洞且在互联网公开,建议客户识别并且修复历史漏洞,避免因其他历史漏洞再次被攻击。
4、针对勒索事件,重要数据异地安全备份是在安全事件发生后的有效恢复手段,也需要在演练中尝试已经备份的数据,从而保证备份数据有效性。
5、在网络层面部署流量分析设备APT以及大型内网中架设态势感知威胁预警平台。
海康威视已于6月份发布安全通告,详情请参考:https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/