近日，腾讯主机安全（云镜）捕获到YAPI远程代码执行0day漏洞在野利用，该攻击正在扩散。受YAPI远程代码执行0day漏洞影响，大量未部署任何安全防护系统的云主机已经失陷。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。<br
YAPI使用mock数据/脚本作为中间交互层，其中mock数据通过设定固定数据返回固定内容，对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容，本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤，用户可以添加任何请求处理脚本，因此可以在脚本中植入命令，等用户访问接口发起请求时触发命令执行。

风险等级

漏洞风险

影响版本

目前为0day状态，官方暂未发布补丁，影响所有版本

安全版本

目前为0day状态，官方暂未发布补丁

修复建议

该漏洞暂无补丁，建议受影响的用户参考以下方案缓解风险：
1.部署腾讯云防火墙实时拦截威胁；
2.关闭YAPI用户注册功能，阻断攻击者注册；
3.删除恶意已注册用户，避免攻击者再次添加mock脚本；
4.删除恶意mock脚本，防止被再次访问触发；

【备注】：建议您在升级前做好数据备份工作，避免出现意外

- 腾讯云防火墙已支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。

- 已部署腾讯主机安全（云镜）的客户可以通过高危命令监控发现，腾讯主机安全（云镜）可对攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

- 私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。

- 企业客户可通过旁路部署腾讯天幕（NIPS）实时拦截利用YAPI接口管理平台远程代码执行漏洞的网络通信连接，彻底封堵攻击流量。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。