威胁预警|Solr velocity模板注入远程命令执行已加入watchbog武器库，漏洞修补时间窗口越来越短

概述

近日，阿里云安全团队监测到挖矿团伙watchbog更新了其使用的武器库，增加了最新Solr Velocity 模板注入远程命令执行漏洞的攻击方式，攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否受到影响。

值得注意的是，此漏洞利用代码于10月31日被公布，11月2日阿里云安全团队就已发现watchbog团伙利用此漏洞进行入侵，植入木马进行挖矿，漏洞公开不足2日便被挖矿团伙利用进行攻击牟利。可以看到，当新的漏洞被披露出来时，可供企业用户修复的时间窗口越来越短，因此防守方需要及时地关注新披露可利用漏洞，以及采取缓解措施或进行修复，必要时可考虑选用安全产品帮助保障安全。

背景介绍

watchbog挖矿团伙

watchbog团伙最早出现于2018年，是一个利用多种漏洞攻击方式向目标主机植入挖矿木马的恶意团伙，通过挖取门罗币