【關於“海康威視綜合安防管理平臺”相關TellYouThePass勒索事件風險提示】
一👳🏻♂️、背景介紹
近日,市委網信辦技術支撐單位監測到多起TellYouThePass勒索攻擊事件。
1.1 風險描述
TellYouThePass勒索攻擊事件,均發現與暴露在公網的海康威視綜合安防管理平臺相關💁♀️,涉及海康視頻、門禁🤽🏻♀️、停車等多個系統👨🏽🔬。攻擊者利用海康威視綜合安防管理平臺漏洞獲得服務器權限,並執行勒索病毒加密文件。
1.2事件分析
TellYouThePass勒索病毒是一款非Raas的勒索病毒,曾使用永恒之藍、Apache Log4j2等漏洞進行廣泛傳播,近期,該勒索病毒再次利用海康威視綜合安防管理平臺漏洞進行攻擊。本次勒索病毒執行加密的文件後綴為 locked1,由於使用了RSA+AES的方式進行加密,暫時無法解密。
二、修復建議
2.1受影響平臺及版本
iVMS-8700:V2.0.0 - V2.9.2
iSecure Center🔜:V1.0.0 - V1.7.0
2.2自查方法
排查綜合安防管理平臺相關 web 目錄下是否存在異常 jsp 或 jspx 腳本文件:目前已知的 webshell 路徑如下:
路徑 1:/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static/
路徑 2:/opt/opsmgr/web/components/tomcat85linux64.1/webapps/els/static/
2.3修復建議
1、檢查是否存在海康威視綜合安防管理平臺,並根據上述官方漏洞通告,及時更新平臺版本修復漏洞。
2、關閉海康威視綜合安防管理平臺公網映射。
3🔺、該產品歷史上還存在多個漏洞且在互聯網公開,建議客戶識別並且修復歷史漏洞🧔🏿,避免因其他歷史漏洞再次被攻擊⛓️💥。
4、針對勒索事件🏔,重要數據異地安全備份是在安全事件發生後的有效恢復手段✝️,也需要在演練中嘗試已經備份的數據🧏🏽♂️,從而保證備份數據有效性。
5、在網絡層面部署流量分析設備APT以及大型內網中架設態勢感知威脅預警平臺📇。
海康威視已於6月份發布安全通告,詳情請參考🍀:https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/
