关于“海康威视综合安防管理平台”相关TellYouThePass勒索事件风险提示

发布时间:2023-11-28浏览次数:13


1、背景介绍

近日,市委网信办技术支撑单位监测到多起TellYouThePass勒索攻击事件。

1.1 风险描述

TellYouThePass勒索攻击事件,均发现与暴露在公网的海康威视综合安防管理平台相关,涉及海康视频、门禁、停车等多个系统。攻击者利用海康威视综合安防管理平台漏洞获得服务器权限,并执行勒索病毒加密文件。

1.2事件分析

TellYouThePass勒索病毒是一款非Raas的勒索病毒,曾使用永恒之蓝、Apache Log4j2等漏洞进行广泛传播,近期,该勒索病毒再次利用海康威视综合安防管理平台漏洞进行攻击。本次勒索病毒执行加密的文件后缀为 locked1,由于使用了RSA+AES的方式进行加密,暂时无法解密。

二、修复建议

2.1受影响平台及版本

iVMS-8700:V2.0.0 - V2.9.2

iSecure Center:V1.0.0 - V1.7.0

2.2自查方法

排查综合安防管理平台相关 web 目录下是否存在异常 jsp 或 jspx 脚本文件:目前已知的 webshell 路径如下:

路径 1:/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static/

路径 2:/opt/opsmgr/web/components/tomcat85linux64.1/webapps/els/static/

2.3修复建议

1、检查是否存在海康威视综合安防管理平台,并根据上述官方漏洞通告,及时更新平台版本修复漏洞。 

2、关闭海康威视综合安防管理平台公网映射。 

3、该产品历史上还存在多个漏洞且在互联网公开,建议客户识别并且修复历史漏洞,避免因其他历史漏洞再次被攻击。

4、针对勒索事件,重要数据异地安全备份是在安全事件发生后的有效恢复手段,也需要在演练中尝试已经备份的数据,从而保证备份数据有效性。

5、在网络层面部署流量分析设备APT以及大型内网中架设态势感知威胁预警平台。

海康威视已于6月份发布安全通告,详情请参考:https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/


联系我们