【漏洞预警】： WebLogic漏洞导致主机感染挖矿病毒

更多资讯和分析文章请关注联想安全实验室微信公众号及官方网站（securitylab.lenovo.com）

0X00 漏洞简介

近日黑客利用WebLogic反序列化漏洞（CVE-2017-3248）以及WebLogic WLS 组件漏洞（CVE-2017-10271）对企业服务器发起大范围远程攻击，已有部分客户被挖矿程序watch-smartd所利用，攻击者可利用该漏洞在WebLogic服务器/tmp/目录安装植入watch-smartd程序，watch-smartd程序不仅极大消耗服务器CUP和内存资源。同时可能还有watch-smartd的早期版本Carbon、carbon。详情请查看：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271。

0X01 影响范围

受影响的服务版本：

10.3.6.0.0, 12.1.3.0.0,12.2.1.1.0 , 12.2.1.2.0

0X02 风险等级

高。

0X03 漏洞原理

CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，属于没有公开细节的野外利用漏洞。攻击者只需发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限。

0X04 修复建议

由于weblogic使用广泛，涉及各行各业，同时攻击者可利用该漏洞攻击windows及Linux主机，且在目标主机长期潜伏存在，如果您的主机暂时未受影响，请到oracle官网及时更新补丁，避免受到攻击。

已经受到影响，可以采取如下临时措施减少损失。

1、由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染，建议您根据实际环境路径，删除WebLogic程序下的war包及相关目录：

rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2、重启WebLogic或系统后，判断是否可访问链接：http://x.x.x.x:7001/wls-wsat，若无法访问，若是这说明删除成功。

0X05 参考链接

a）http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
b）http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

联想安全实验室

联想安全实验室，以控制产品安全质量为核心，研究主流安全攻防技术，构筑产品安全创新生态。实验室研究方向涵盖终端产品安全、云服务安全、IoT产品安全、大数据安全、无线网络安全等方向，专注于端到端的产品安全技术能力研究，同时安全实验室还关注工业互联网、智能交通、智慧城市、智慧家庭等方向的安全研究。

原文始发于微信公众号（联想全球安全实验室）：【漏洞预警】： WebLogic漏洞导致主机感染挖矿病毒