更多资讯和分析文章请关注联想安全实验室微信公众号及官方网站(securitylab.lenovo.com)
0X00 漏洞简介
近日黑客利用WebLogic反序列化漏洞(CVE-2017-3248)以及WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,已有部分客户被挖矿程序watch-smartd所利用,攻击者可利用该漏洞在WebLogic服务器/tmp/目录安装植入watch-smartd程序,watch-smartd程序不仅极大消耗服务器CUP和内存资源。同时可能还有watch-smartd的早期版本Carbon、carbon。详情请查看:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271。
0X01 影响范围
受影响的服务版本:
10.3.6.0.0, 12.1.3.0.0,12.2.1.1.0 , 12.2.1.2.0
0X02 风险等级
高。
0X03 漏洞原理
CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞。攻击者只需发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。
0X04 修复建议
由于weblogic使用广泛,涉及各行各业,同时攻击者可利用该漏洞攻击windows及Linux主机,且在目标主机长期潜伏存在,如果您的主机暂时未受影响,请到oracle官网及时更新补丁,避免受到攻击。
已经受到影响,可以采取如下临时措施减少损失。
1、由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染,建议您根据实际环境路径,删除WebLogic程序下的war包及相关目录:
rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2、重启WebLogic或系统后,判断是否可访问链接:http://x.x.x.x:7001/wls-wsat,若无法访问,若是这说明删除成功。
0X05 参考链接
a)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
b)http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
联想安全实验室
联想安全实验室,以控制产品安全质量为核心,研究主流安全攻防技术,构筑产品安全创新生态。实验室研究方向涵盖终端产品安全、云服务安全、IoT产品安全、大数据安全、无线网络安全等方向,专注于端到端的产品安全技术能力研究,同时安全实验室还关注工业互联网、智能交通、智慧城市、智慧家庭等方向的安全研究。
原文始发于微信公众号(联想全球安全实验室):【漏洞预警】: WebLogic漏洞导致主机感染挖矿病毒
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论