?云安全風險情報

當前各行業基礎設施和服務向云逐漸遷移，隨之而來針對云上資產的攻擊也不斷出現，掌握云上風險態勢成為企業安全的重要環節。騰訊安全基于云原生安全體系，通過實時監測各類針對云上資產的攻擊行為，持續感知在野攻擊情況。經過安全專家的分析和挖掘，漏洞是攻擊鏈上的重要一環，既能看到“老而彌新”漏洞的自動化批量攻擊，也可發現新曝光漏洞開始迅速武器化，此外還涉及一些尚未公開的潛在風險被攻擊者利用。

為了幫助各行業了解云上風險態勢，我們將定期分析、匯總云上的真實攻擊信息，并提供漏洞風險情報。同時也建議各行業根據自身IT資產的實際情況，聚焦相關風險，并采取必要的緩解措施，避免潛在損失。

本周云上攻擊態勢

一、總覽與解讀

1）簡介

本周，云上攻擊保持高度的活躍狀態，Yapi、Confluence、GitLab相關漏洞熱度持續霸占榜單， Had oop  YARN漏洞新上熱榜 ；在受攻擊行業方面，技術服務、電商、政務、運營商等行業持續霸占榜單， 智慧零售行業 新上熱榜。

2）總覽

本周，騰訊安全【云上威脅狩獵系統】(后簡稱WeDetect)共捕獲到 64 個有效漏洞攻擊事件、8 種持久化攻擊類型、435 個活躍攻擊IP。

對比上周，活躍漏洞數量 增加  3個，活躍攻擊IP數量 增加 27  個 ，持久化攻擊類型 減少 1個 。

3）趨勢

近一個月，騰訊安全WeDetect感知到云上攻擊總體平穩，期間出現短暫的攻擊降頻現象（12號到15號Yapi相關漏洞攻擊事件持續增加），但整體攻擊量級并未出現大幅度波動，繼續維持在高活躍狀態：

二、Top 5 漏洞和攻擊趨勢

云上Top 5漏洞攻擊所利用的漏洞信息如下，具有相關資產的用戶可以關注并排查是否已修復，提高相關工作的優先級。

1）Top5 漏洞及占比

本周WeDetect共感知 64 種漏洞攻擊事件，其中Top 5漏洞為：

• Yapi Mock 遠程命令執行漏洞 (36.84%)[ ↓4.52 %]
• GitLab 遠程命令執行漏洞(CVE-2021-22205) (23.45% ) [↑6%]
• Confluence 遠程代碼執行漏洞(CVE-2022-26134) (13.36%)[ ↑1 .14 % ]
• Thinkphp5控制器名過濾不嚴導致getshell(3.44%)[ ↓ 0.64 % ]
• Hadoop YARN 資源管理系統REST API未授權訪問 (2.67 %)[ 新增 ]

對比上周，本周新上榜" Had oop  YARN  資源管理系 統 REST  API未授權訪問" 漏洞。

2）Top5 漏洞攻擊趨勢

通過漏洞活躍指數，可觀察熱點漏洞近兩周活躍情況，了解此類漏洞攻擊屬于短期爆發型還是長期穩定型。

Yapi Mock 遠程命令執行漏洞： [ 熱度從陡降到陡升 ]

GitLab 遠程命令執行漏洞(CVE-2021-22205)：

Confluence 遠程代碼執行漏洞(CVE-2022-26134)：

Thinkphp5控制器名過濾不嚴導致getshell：

Had oop  YARN  資源管理系 統 REST  API未授權訪問： [ 新增 ]

三、Top 持久化攻擊

感 知持久化后門攻擊，側重于捕獲攻擊者通過WebShell、后門等手段對目標進行持續滲透攻擊的過程。 通過 云上持久化攻擊感知和挖掘，可回溯到相關的歷史活躍漏洞情況，并為后門清理、漏洞修補提供參考。（提示新增部分漏洞，均為：對比上周統計，新出現的）

本周云上Top持久化后門攻擊：

• Showdoc 文件上傳漏洞Webshell利用
• CTF/靶場類環境被利用
• PHP WebShell利用
• Weblogic被攻擊植入Webshell后利用
• JSP WebShell利用
• Tomcat弱口令導致RCE(Webshell利用)
• 用友NC 被攻擊植入后門后利用

四、云上攻擊威脅情報

通過對漏洞攻擊事件的分析，可梳理出遭受攻擊的主要行業、關聯的攻擊者及漏洞利用攻擊行為等威脅情報。

1）C2威脅情報

WeDetect已持續累計捕獲云上C2相關情報，提供威脅情報價值。

C2 攻擊者IP Top5：

• 103.214.xx.xx (81.88 %)
• 194.38.xx.xx (7.98%)
• 194.38.xx.xx (3.98%)
• 124.222.xx.xx (1.32%)
• 167.172.xx.xx (0.61%)

C2來源分布：

• 印度尼西亞 (94.17%)
• 烏克蘭(4.58 %)
• 韓國(0.56%)
• 美國(0.53 %)
• 盧森堡 (0.09 %)

C2 IP情報標簽（標簽數據來自：TIX）：

• 漏洞利用 (99.7%)
• 其他(0.28%)
• 常規木馬 (0.02%)

C2 IP屬性（屬性數據來自：TIX）：

• 可疑IP (99.72%)
• 其他 (0.28%)

2）遭受攻擊的Top5 行業

根據行業分類，本周云上 Top5 遭受攻擊行業 ：

• 技術服務(46.99%)
• 電商 (9.02%)
• 智慧零售 (7.86%)
• 政務(5.49 %)
• 運營商(5.43%)

     對比上周，Top5 行業新增了智慧零售行業 。

3）Top5 攻擊者IP及漏洞利用情況

本周云上 Top5  攻擊者 IP ：

• 103.214.xx.xx (46.17%)
• 162.214.xx.xx (9.87%)
• 185.254.xx.xx (5.79%)
• 152.89.xx.xx (5.7%)
• 109.237.xx.xx (4.08%)

其中，在Top5 攻擊者IP中，各自使用最多的CVE漏洞為：

• Yapi Mock 遠程命令執行漏洞
• GitLab 遠程命令執行漏洞(CVE-2021-22205)
• Confluence 遠程代碼執行漏洞(CVE-2022-26134)

其中，攻擊 IP 境外來源Top5 ：

• 印度尼西亞
• 東歐
• 荷蘭
• 德國
• 美國

4）攻擊來源

云上攻擊可來自外網、負載均衡、內網等。通過WeDetect對攻擊鏈路的網絡判斷能力，可洞察云上攻擊的不同攻擊來源及其熱度，為排查不同網絡鏈路的攻擊面提供優先級參考價值。

本周云上熱點攻擊來源：

• 外網攻擊 (94.54%)
• 負載均衡 (5.09%)
• 跨網段攻擊 (0.26%)
• 內網橫移 ( 0.11 %)

5）Top5 攻擊端口

攻擊者在攻擊指定服務的背后就是在向指定端口發起攻擊。通過WeDetect可挖掘出被攻擊的熱門端口，洞察存在高危風險的端口服務，為排查高危的端口服務提供優先級參考價值。

本周云上Top5  攻擊端口：

• 80 (28.81%)
• 3001 (13.18 %)
• 4999 (10.85%)
• 3000(6.74%)
• 10001 (4.65%)

6）Top5 漏洞攻擊行為

攻擊者在使用漏洞攻擊的過程中，通常伴隨帶有目的性的攻擊行為。通過WeDetect可挖掘出發起攻擊的一些熱門攻擊行為，洞察攻擊背后的真實意圖。

本周細化了云上漏洞攻擊行為的類別，其中云上Top5 漏洞攻擊行為如下，云上攻擊行為主要以挖礦木馬為主 ：

• 挖礦木馬 (43.63%)
• 文件下載并執行 (22.89%)
• 文件下載 (14.08%)
• 文件權限修改 (7.12%)
• 漏洞探測 (5.16%)

7 ）主機和容器占比情況

云上受攻擊的資產一般分為主機或容器。通過WeDetect可挖掘出被攻擊的主機和容器占比，洞察云上受攻擊資產類型分布，為排查風險資產提供優先級參考價值。

從本周占比情況看，主機和容器占比接近五五分，意味著在云上場景中容器安全同樣需要得到重視：