漏洞概况
近日,微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞(XVE-2023-23734)开展大规模勒索攻击。
攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高。
该漏洞非0day,海康威视已于2023年6月修复。
目前公网仍有部分资产尚未修复,建议还没处置该漏洞的客户,立即处置!
漏洞处置优先级(VPT)
修复方案
1、官方修复方案:
及时联系官方获取更新补丁 https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/
2、临时修复方案:
在未升级的情况下,停止将相关平台开放到互联网。
3、注意勒索攻击
(1)对所有办公/生产终端设备,内部的服务器进行排查。重点关注新创建的文件,尤其是安装综合安防管理平台 Tomcat 目录下的文件是否存在Webshell文件;
(2)建立重要业务数据的定期备份机制,并做好权限隔离,防止勒索软件对备份数据进行加密;
(3)加强办公终端、生产服务器网络安全防护,加强内外网的威胁监控尤其是失陷监控。可通过微步TDP 进行实时监控,及时发现内网失陷主机;
(4)对于来源不明的软件或者文档,可以上传微步云沙箱 s.threatbook.cn 进行多引擎查杀,避免漏报。该平台可进行免费多引擎查杀和样本分析。
原文地址:https://x.threatbook.com/v5/article?threatInfoID=97086
