CVE-2018-9206出現(xiàn)在野利用 多網(wǎng)站被掛馬致搜索跳轉(zhuǎn)博彩網(wǎng)站
責(zé)編:gltian |2018-10-26 13:59:39近期360互聯(lián)網(wǎng)安全中心收到多位站長(zhǎng)求助,其網(wǎng)站在通過(guò)搜索引擎打開(kāi)時(shí),會(huì)跳轉(zhuǎn)到網(wǎng)絡(luò)博彩頁(yè)面。經(jīng)過(guò)分析發(fā)現(xiàn),是網(wǎng)站使用的jQuery代碼被惡意篡改,進(jìn)一步分析發(fā)現(xiàn),很多站點(diǎn)是因?yàn)槭褂玫腃MS中的舊版本jQuery-File-Upload插件存在任意文件上傳漏洞(CVE-2018-9206)被利用后插入的惡意代碼導(dǎo)致。
Blueimp jQuery-File-Upload是一款被廣泛使用支持多種語(yǔ)言的文件上傳工具,它包括文件選擇、文件拖放、進(jìn)度條顯示和圖像預(yù)覽等功能。 Blueimp jQuery-File-Upload 9.22.0及之前版本中,在最近被爆出存在任意文件上傳漏洞(CVE編號(hào):CVE-2018-9206,詳情見(jiàn):http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9206)。遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行代碼。
該插件是GitHub上第二個(gè)最受歡迎的jQuery項(xiàng)目(有7844個(gè)分支,Star為29320),僅次于jQuery框架。并且已經(jīng)集成到數(shù)百個(gè)其他項(xiàng)目中,如:CMS、CRM、Intranet解決方案、WordPress插件、Drupal附加組件、CKEditor(DeDeCMS中也有集成)、Joomla組件等等。
過(guò)程分析
某網(wǎng)站上使用的jQuery File Upload插件
Github中該項(xiàng)目(https://github.com/blueimp/jQuery-File-Upload)中安全提示信息:CVE-2018-9206漏洞影響2018年10月之前發(fā)布的版本:
jQuery File Upload插件項(xiàng)目頁(yè)面說(shuō)明
分析發(fā)現(xiàn)此類(lèi)被掛馬的網(wǎng)站的jQuery庫(kù)文件的尾部被額外插入經(jīng)過(guò)混淆的代碼,經(jīng)過(guò)去混淆后其內(nèi)容為:判斷站點(diǎn)的來(lái)源頁(yè)面(referer)是否為百度(baidu)、谷歌(google)、雅虎(yahoo)、必應(yīng)(bing)、搜狗(sogou)、360搜索(so.)、有道(youdao)、極客(jike)、anquan、360導(dǎo)航(360.cn)其中之一,如果是則會(huì)嵌入一段廣告代碼hxxps://s5[.]cnzz[.]biz/robots.php;
jQuery腳本中被插入的惡意代碼
robots.php中的腳本內(nèi)容如下圖所示:主要功能為:將當(dāng)前頁(yè)面的父頁(yè)面(即搜索頁(yè)面)跳轉(zhuǎn)到博彩頁(yè)面:hxxp://www[.]b733[.]xyz:2682/w.html,
S5.cnzz.biz中的抓包內(nèi)容
55bbs中同樣被插入了混淆的廣告代碼,去混淆后其中的廣告代碼功能主要為自動(dòng)復(fù)制一段支付寶吱口令領(lǐng)紅包賺取賞金的廣告。
領(lǐng)紅包惡意代碼
下圖為判斷移動(dòng)設(shè)備跳轉(zhuǎn)博彩網(wǎng)站相關(guān)的JS代碼:
判斷是否正被移動(dòng)設(shè)備訪(fǎng)問(wèn)
跳轉(zhuǎn)到的博彩頁(yè)面如圖所示:
博彩頁(yè)面
惡意代碼攻擊效果演示:
攻擊效果演示
結(jié)語(yǔ)
該漏洞已在野外被利用,攻擊者可以濫用此漏洞在服務(wù)器上上傳惡意js文件,甚至后門(mén)程序和Web shell。所以建議使用了jQuery-File-Upload上傳插件CMS站長(zhǎng)盡快更新到修復(fù)了該漏洞的新版本,以免網(wǎng)站或服務(wù)器遭受攻擊。
附部分被插入惡意代碼的js
91淘課:
hxxp://www.91taoke.com/Public/gaiban/js/jquery-3.0.0.min.js
健康無(wú)憂(yōu)網(wǎng):
hxxp://www.jk51.com/gg/headad1.js
55bbs論壇:
hxxp://oss-icon.55-img.com/newPage/js/jquery-1.11.2.min.js
明星網(wǎng):
hxxp://www.ctvjx.com/skin/js/jquery.min.js
西安市第四醫(yī)院:
hxxp://www.grmg.com.cn/templets/default/js/jquery-1.7.1.min.js
hxxp://www.cnbidding.com/archives/20180204/1506/index.html
hxxp://s7.cnzz.biz/stat.php?id=33222&web_id=33222&show=pic
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿(mǎn)落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧