公有云威胁情报

概述 本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。 360高级威胁狩猎蜜罐系统发现全球9.2万个云服务器IP进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内39家单位所属的云服务资产IP，这些单位涉及政府、医疗、建筑、军工等多个行业。 2022年4月，WSO2多个产品和Apache Struts2爆出高危漏洞，两个漏洞技术细节已经公开，并且我们发现两个漏洞都已有在野利用和利用漏洞传播恶意软件的行为。 本月共记录来源于云服务器的扫描和攻击会话3.7亿次，其中漏洞攻击会话2400万次，传播恶意软件会话77.2万次。 云上重点资产扫描攻击 四月份，我们共监测到全国39个公有云重点资产存在异常扫描及攻击行为。随着云服务的普及，云安全问题也随之越发突出。攻击者常常入侵云服务器，并利用被入侵机器继续发动攻击。4月份我们发现了国内39个云服务器重点IP具有异常扫描攻击行为，由此我们认为该重点IP可能被入侵。从行业分布看，

概述本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。360高级威胁狩猎蜜罐系统发现全球12万个云服务器IP，进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内156家单位的服务器IP，涉及大型央企、政府机关等行业。Spring厂商连续公开3个关键漏洞，CVE-2022-22947、CVE-2022-22963、CVE-2022-22965，本文将对前两个漏洞进行细节分析，第三个漏洞细节点此查看。本月共记录威胁攻击8亿次有余（其中包括漏洞攻击7.4亿余次、传播恶意软件超5500万次），新增IoC累计68万余个，其中针对IoT设备的漏洞攻击呈上升趋势。云上重点资产扫描攻击三月份，我们共监测到全国156个公有云重点资产存在异常扫描及攻击行为。随着业务不断上云，发生在公有云平台上的网络安全事件和威胁数量居高不下，国内重点行业包括但不限于我国的科研机构、大型企业、政府及事业单位成为攻击者的重点攻击对象，合计攻击源156个。根据所属云服务商来源，我们发现我国重点IP的云服务商以阿里云使用为主，其次为腾讯云。

1. 概述 17个云上重点资产有漏洞攻击行为，包括某民主党派市级委员会、某县级中医院等云上重点单位。 随着俄乌冲突全面升级，我们发现有攻击者利用Docker Remote API未授权访问漏洞，对俄罗斯境内服务器发起拒绝服务(DoS)网络攻击。 Apache APISIX本月爆出远程代码执行漏洞(CVE-2022-24112)，攻击者通过两种攻击方式可远程执行恶意代码。 本文主要通过360网络安全研究院 Anglerfish蜜罐视角，分析云上热门漏洞攻击细节，以及云上重要资产在公网上发起攻击的情况。 2. 云上资产对外扫描攻击 2月份我们共发现17个命中蜜罐节点的重要单位的云上资产，下表为其中一部分案例，如果需要更多相关资料，请根据文末的联系方式与我们联系。 IP地址 云服务商 单位名称 所属行业 IP所在省份 漏洞利用 扫描协议

1. 概述 2022年的第一个月份，虽然没有爆发新的热门漏洞，且随着越来越多设备的Apache Log4j2漏洞被修复，12月开始的Apache Log4j2漏洞爆发也进入尾声，相关攻击源数量明显减少。但是，Docker Remote API未授权访问漏洞、美国飞塔（Fortinet）FortiOS未授权任意文件读取漏洞等旧漏洞的云服务器攻击源IP数量突然较12月大幅度增加。在第2部分，我们分析了这两个漏洞的攻击趋势和攻击方法。政府和企事业单位的云上资产方面，1月份共发现26个云上资产对外扫描攻击，其中某航天研究单位、某县级人民医院（都架设在阿里云上）等单位使用的云服务器IP在公网上发起攻击，值得关注。本文主要通过360网络安全研究院 Anglerfish蜜罐视角，分析云上热门漏洞攻击细节，以及云上重要资产在公网上发起攻击的情况。 2. 云上热门漏洞攻击威胁 本月没有爆发的新漏洞攻击，但值得注意的是，

1. 概述 云服务具备部署方便、资源灵活弹性、按需付费等优势，各类企业、政府、事业单位、高校和研究机构近年来都参与到了“上云”的潮流中。然而，随着越来越多各行各业的敏感数据“上云”，云安全问题的重要性和紧迫性也越发突出。近年来，全球云服务器被DDoS攻击、入侵、网站页面恶意修改、敏感数据泄露、加密勒索、恶意挖矿等安全事件频发，特别是提供公网服务的云主机，时时刻刻面临着漏洞攻击、暴力破解、Bot流量等云上网络威胁，这要求无论是云服务商还是云上用户都需要时刻做好威胁检测和处置的准备。 云安全的关键是“知己知彼”。“知己”就是做好云上资产、组件、数据和漏洞的管理，

1 概述2021年11月，360网络安全研究院 Anglerfish蜜罐（以下简称“蜜罐系统”）共监测到全球53745个云服务器发起的网络会话9016万次，与10月份的数据相比略有下降，IP数量下降7.7%，会话数量下降2.1%。本月我们发现了涉及政府、事业单位、新闻媒体等多个行业的单位的8个云服务器IP地址在互联网上发起扫描和攻击。2 云服务器攻击总体情况11月22日~24日的突增主要是由以下两个IP地址造成的：一个是腾讯云119.45.229.133，在11月22~24日每天向蜜罐系统发送了数十万个敏感文件嗅探数据包以及上千个微软OMI漏洞探测数据包。另一个是位于荷兰的DigitalOcean云服务器188.166.54.243，该服务器在11月24日一天内向蜜罐系统发送了18万个Telnet暴力破解数据包。2021年11月攻击源IP数量和会话数量趋势（按天统计）按云服务商维度来看，与上月相比，