FreakOut僵尸网络传播事件通告

• 三六零CERT
• 2021-04-23 19:47

报告编号：B6-2021-012101 报告来源：360CERT 报告作者：360CERT 更新日期：2021-01-21

0x01事件描述

2020年1月20号，360CERT监测发现CheckPoint发布了FreakOut –利用最新漏洞创建僵尸网络的分析报告。FreakOut恶意程序利用近期新出的三个漏洞实施扫描，并创建僵尸网络。事件等级：高危，事件评分：8.5。 对此，360CERT建议广大用户好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛
360CERT评分	8.5

0x03 涉及组件

Zend Framework

是一种开源的, 面向对象的WEB应用程序开发框架，安装量超过5.7亿。

Liferay Portal

一个免费的开源企业门户。这是一个用Java编写的Web应用程序平台，提供与门户网站开发相关的功能。

TerraMaster TOS（TerraMaster操作系统）

用于管理TerraMaster NAS（网络附加存储）服务器的操作系统。

0x04 涉及漏洞

CVE-2021-3007：Zend FrameWork 3.0 反序列化漏洞

未经身份验证的攻击者利用此漏洞可以在服务器上造成远程代码执行 影响版本： Laminas Project laminas-http 2.14.2之前的版本 Zend Framework 3.0.0

CVE-2020-7961：Liferay Portal 反序列化漏洞

未经身份验证的攻击者通过JSON web服务API可以实现远程代码执行。 影响版本： Liferay Portal版本6.1、6.2、7.0、7.1和7.2

CVE-2020-28188：Terramaster TOS 注入漏洞

未经身份验证的攻击者利用此漏洞可以向注入OS命令，并控制系统。 影响版本： TerraMaster TOS <= 4.2.06

0x05 防御建议

CVE-2021-3007

及时更新，参考ZendFramework官网发布的安装文档:

https://framework.zend.com/downloads

CVE-2020-7961

及时更新，参考Liferay Portal 在Github上发布的最新版本:

https://github.com/liferay/liferay-portal/releases/latest

CVE-2020-28188

及时更新，参考TerraMaster官网发布的最新版本:

https://dl.terra-master.com/cn/TOS_S2.0_Update_JM33_4.2.08_2101111540_2101111540.bz2

0x06 IOC

hxxp://gxbrowser[.]net 7c7273d0ac2aaba3116c3021530c1c868dc848b6fdd2aafa1deecac216131779 05908f2a1325c130e3a877a32dfdf1c9596d156d031d0eaa54473fe342206a65 ac4f2e74a7b90b772afb920f10b789415355451c79b3ed359ccad1976c1857a8 ac6818140883e0f8bf5cef9b5f965861ff64cebfe181ff025e1f0aee9c72506cOut

0x07 时间线

2021-01-19CheckPoint发布威胁报告 2021-01-21 360CERT发布通告

0x08 参考链接

1、 FreakOut – Leveraging Newest Vulnerabilities for creating a Botnet

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/