揭秘：黑客利用Couchdb数据库中漏洞植入挖矿程序

事件概述

我们捕获了利用Couchdb权限绕过漏洞的攻击行为，攻击者通过创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序。

CVE--2017-12635 和 CVE-2017-12636

下面简单介绍一下利用的两个漏洞。

Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。

CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同，导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员，属于垂直权限绕过漏洞。

CVE-2017-12636是一个任意命令执行漏洞，我们可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。

事件分析

1.创建管理员

因为任意命令执行漏洞需要登录用户方可触发，所以先利用CVE-2017-12635先增加一个管理员用户，主要操作如下：

发送包含两个roles的数据包，即可绕过限制，成功创建管理员，账户密码均为：wooyun1.访问http://**.213.63.***:5984/_utils/，可以看到已经存在用户名为wooyun1账号：

2.执行任意命令

利用任意命令执行漏洞执行的主要操作如下：

可以看到利用漏洞执行wget和curl命令从http://***.99.142.232:8220/下载了两个bash脚本，5.sh和2.sh.

功能都是再执行wget或者curl命令下载并执行一个.jpg文件, 查看logo3.jpg和logo4.jpg实质上都是bash脚本，主要内容如下：

主要功能是从http://***.99.142.232:8220下载一个配置文件1.json 并重命名，下载了rig、rig1、rig2三个样本并重命名，赋予了可执行权限，然后获取了受害主机的cpu核数，把配置文件内容和cpu核数作为参数执行suppoie这个程序

config.json 内容如下：

根据配置文件内容判断这是一个门罗币的挖矿样本，使用的是XMRig开源程序，查了一下这个钱包地址帐户因僵尸网络活动报告而被暂停。

脚本中出现的三个样本hash分别为：

4f0bbc485050485cf7799c0547ac2678dbe16b41e4d124e5fc2ffbeb62a46f6d

53505d1bdecdd2fb71d634dd1f7935ed8b099b87369c416bca7afa36cb3c7335

e2a28a51dae1627a4eb76d25dafd6140c52a88885e3cca66309e70cf7fa65cdd

在virustotal上查询了这三个样本，第一次上传是在3月25号，在12小时前还被重新上传分析，判断这个样本近期非常活跃:

-END-