安全态势报告-2025年10月
阿里云平台安全态势报告(10月刊)
一、平台攻防态势
云平台默认防御水位
默认防御是阿里云平台默认提供的基础防御能力,可基于海量云安全威胁情报,阻断恶意团伙对云上客户的规模性攻击,客户无需手动配置安全防护功能,开箱即享基础安全保护。
2025 年 10 月云平台平均每天为客户
防御攻击次数:62.45 亿次,环比 9 月份下降 10.7%
防御攻击IP数: 2.75 万个,环比 9 月份上涨 1.1%
近期,勒索团伙在云环境中持续活跃,不断发起扫描攻击并实施勒索,阿里云已针对性增强默认防御策略,强化对勒索攻击的拦截能力。
截至2025年10月,阿里云已累计拦截勒索团伙针对云上用户的扫描及攻击行为共计2,144万次。
DDoS 攻击拦截情况
阿里云平台 10 月共监测并拦截
DDoS 攻击次数:10.28 万次,环比 9 月份上涨 11.5%
DDoS 峰值:2100 Gbps ,环比 9 月份下降 8.7%
二、近期攻击手段与趋势
警惕 Outlaw 僵尸网络新变种
近期,阿里云安全团队监测到多起与 Outlaw 挖矿僵尸网络相关的攻击事件。该僵尸网络最早于 2018 年被发现,长期以云服务器为主要攻击目标,从事门罗币(Monero)等加密货币的非法挖矿活动,至今仍保持高度活跃。最新分析表明,当前攻击活动中使用的样本已在第三代版本基础上进行了重大升级:其功能模块更加丰富,隐蔽性显著增强,且清除难度大幅提升,对云环境安全构成持续威胁。
攻击手法
攻击者主要通过 SSH 暴力破解 获取目标系统的访问权限,成功入侵后立即植入 SSH 公钥,以实现长期、免密的远程控制。随后,攻击者会从远程服务器下载并执行后门程序,同时部署挖矿木马。
为确保持久驻留,恶意程序会通过以下方式实现自启动与隐蔽运行:
利用 crontab 定时任务 创建周期性执行项,定期拉取并运行恶意脚本;
通过 bash 命令注入 在系统初始化脚本或用户配置文件中植入后门逻辑;
使用 tar 命令解压并释放恶意负载,避免直接写入可识别的二进制文件,提升绕过检测的能力;
集成内网扫描与 SSH 暴力破解工具,对同网段或其他可达主机发起横向移动,扩大感染范围。
整个攻击链高度自动化,具备较强的传播与驻留能力。
IOC
1d306f8526098519cb196d490a351591
30ef03743378cf5208615c9d6a395260
安全建议
为有效防范僵尸网络的入侵与扩散,阿里云建议采取以下措施:
最小化暴露面:避免将 SSH(22 端口)等管理端口直接暴露于公网;如确需开放,应通过安全组或防火墙限制访问源 IP,或使用堡垒机、云防火墙等进行访问控制。
强化身份认证:禁用弱密码,强制使用高强度密码并定期轮换;强烈建议关闭 SSH 密码登录,全面启用密钥认证。
风险快速响应:一旦发现感染,应立即隔离主机、清除恶意定时任务与后门文件。
阿里云将持续监控 Outlaw 僵尸网络的演化趋势,并通过邮件短信站内信等方式实时提醒,请用户在收到告警后立即处置,防止威胁蔓延与业务受损。
三、近期被高频攻击的漏洞
根据攻击数据分析,阿里云安全团队总结了近期云上被高频扫描和利用的漏洞,建议有相关资产或风险的用户及时检测并进行修复或防护。
(一)新增重要漏洞
Windows 服务器更新服务 (WSUS) 远程代码执行漏洞(CVE-2025-59287)
WSUS 在处理 AuthorizationCookie 时未对反序列化数据进行有效验证,攻击者可利用 .NET 的 BinaryFormatter 机制,通过 SimpleAuth.asmx 绕过身份认证,并向 ReportingWebService.asmx 发送恶意 SOAP 请求,从而在无需认证的情况下以 SYSTEM 权限执行任意代码。
由于 WSUS 通常部署在企业内网核心区域且拥有较高系统权限,一旦被攻陷,攻击者可将其作为跳板进行横向渗透、分发恶意更新或实现持久化驻留,进而引发供应链级安全风险。
目前该漏洞的利用代码已公开,并存在野外攻击案例,阿里云安全建议:
使用安全体检工具,免费进行漏洞扫描,如发现存在漏洞,立即根据修复建议安装微软官方补丁
暂无法升级的系统,建议禁用 WSUS 服务器角色,或配置安全组限制可访问WSUS服务的来源地址
U8 Cloud pubsmsservlet 反序列化漏洞
pubssuservlet是用友 U8 Cloud的一个公开 Servlet 接口,该接口在处理用户请求时,未对输入数据进行严格的安全校验,存在反序列化漏洞。攻击者可构造恶意请求,利用该漏洞在目标服务器上执行任意代码,从而获取系统权限,导致数据泄露、业务中断或服务器被控等严重后果。
阿里云已监测到该漏洞存在在野利用。如您正在使用 U8 Cloud,请立即采取以下措施:
立即升级:使用 U8 Cloud打补丁工具,升级最新的安全补丁
缓解措施(若暂时无法修复):
将 U8 Cloud 部署在内网,通过安全组限制仅可信 IP 可访问;
使用 WAF 阻断对
/u8cloud/pubssuservlet路径的外部请求
(二)其他漏洞列表
部分漏洞已支持免费检测。您可前往阿里云「安全管控」控制台,开启免费安全体检,快速识别相关应急漏洞;如需更全面的检测能力,建议使用云安全中心企业版,对上述应用漏洞进行深度扫描与持续监控。
序号 | 漏洞 | 编号 | 是否支持免费检测 |
1 | 用友NCCloudGatewayServlet远程命令执行漏洞 | 否 | |
2 | xxl-job远程代码执行漏洞 | 否 | |
3 | Docker daemon API 未授权访问漏洞 | 否 | |
4 | PHP CGI Windows平台远程代码执行漏洞 | 是 | |
5 | php < 7.1.32 PHP-FPM缺陷配置远程代码执行漏洞 | 否 | |
6 | Redis 未授权访问漏洞 | 是 | |
7 | Apache RocketMQ 远程代码执行漏洞 | 是 | |
8 | Hadoop YARN REST API命令执行漏洞 | 否 | |
9 | Apache ActiveMQ远程代码执行漏洞 | 否 |