关于近期黑产利用编辑器漏洞植入恶意链接事件通告

关于近期黑产利用编辑器漏洞植入恶意链接事件通告

2019-02-22

TAG：在线编辑器、上传漏洞、SEO暗链

1

事件背景

近期绿盟科技应急响应团队在安全事件处置过程中，检测到多家政府、教育、企事业单位网站被黑客植入恶意链接，访问链接后会跳转到指定色情网站。

受影响网站均使用了存在漏洞的第三方在线编辑器，如Kindeditor、FCKeditor等。攻击者利用编辑器的未授权访问及上传漏洞，上传相关恶意HTML页面。结合SEO技术，提升恶意站点在搜索引擎的收录和权重。

SEE MORE →

2影响范围

通过对恶意链接进行爬虫及数据分析，经初步统计，包括政府、企业、教育、医疗、金融在内的700多个网站被植入恶意链接，截止目前还有440余个网站仍未处置。

针对此次受影响的网站，我们按照行业和地域分别进行了相关数据分析，结果如下：

受影响行业占比分布：

受影响站点数量地域分布：

3事件分析

从某受影响站点提取相关访问日志，对攻击源IP行为进行统计分析，发现攻击者的访问动作及次数均完全一致，可判断攻击者是使用相关自动化工具做了批量扫描及上传。

上传涉及的URL为：/siteadmin/Keditor/asp/upload_json.asp?dir=file，对应漏洞为kindeditor <=4.1.5文件上传漏洞。

同时我们通过对其他受害站点进行分析，发现攻击者还利用了FCKeditor上传漏洞。

上传的恶意页面，通过索引方式包含了所有其他存在同样恶意链接的网站信息。

恶意上传页面通过JS文件，最终跳转至某色情站点。

恶意页面在被搜索引擎爬取并收录后，受影响站点的搜索结果中，可查看到相关恶意页面信息。

通过搜索引擎快照，可查看到攻击者上传的原始恶意页面信息。

4溯源情况

通过日志分析，我们定位到了此次事件攻击者的两个IP：122.114.123.116、103.213.251.194，并做了相关溯源分析。

其中122.114.123.116为虚拟主机，关联了多个域名，位于河南省郑州市电信的景安BGP数据中心，判断为攻击者使用的代理或肉鸡。

而103.213.251.194疑似为攻击者位于中国香港的VPS主机，最近（2019.2.12）关联到该IP的域名cyyl123.com已于2019.2.16过期，目前无法解析。

通过查询域名（cyyl123.com）whois信息，可关联到攻击者包括邮箱、姓名及手机号在内的相关信息，但由于该域名在境外注册，whois信息真实性仅供参考。

对域名（cyyl123.com）解析记录进行分析，发现2018.3.13该域名曾经解析到某国内IP：221.229.197.171，该IP属于江苏徐州电信，且为个人用户使用。

5解决方案

1、 检查网站上传目录是否存在相关可疑html页面，并及时进行清理；

2、 检查网站所用编辑器是否存在未授权访问及上传漏洞，并根据漏洞情况做相应修复或更新；

3、 对受影响站点进行后门检测及风险评估，通过安全测试排除其他漏洞隐患；

4、 对于重要站点，建议通过网站监控服务，实时监测网站相关安全事件。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。