黑客利用高危漏洞 WebLogic 对服务器发起攻击,大量企业服务器已被攻陷

雷锋网编者按:12月22日,雷锋网从微步在线了解到,有黑客正在利用 WebLogic 反序列化漏洞(CVE-2017-3248)和 WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器已被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。

其中,CVE-2017-12071是一个最新的利用 Oracle WebLogic 中 WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,虽然官方在 2017 年 10 月份发布了该漏洞的补丁,但大量企业尚未及时安装补丁。

以下为微步在线的投稿。

编号:TB-2017-0010

报告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、远程执行、反序列化、挖矿

TLP: 白 (报告转发及使用不受限制)

日期: 2017-12-21

漏洞利用方法

该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。

攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic 的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马,但该漏洞可被黑客用于其它目的攻击。

事件概要

详情

根据捕获到的 pcap 包分析,攻击者选定要攻击的目标主机后,将首先利用漏洞CVE-2017-3248进行攻击,无论是否成功,都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先针对Windows系统,再针对Linux系统。具体攻击流程如下:

1、利用 WebLogic 反序列化漏洞(CVE-2017-3248)调用 Linux 中的 wget 进行样本下载和运行。

2、利用 WebLogic 反序列化漏洞(CVE-2017-3248)调用 Windows 中的 PowerShell 进行样本下载和运行。

3、利用 WebLogic WLS 组件漏洞(CVE-2017-10271)调用 Linux 中的 wget 进行样本下载和运行。

4、利用 WebLogic WLS 组件漏洞(CVE-2017-10271)调用 Windows 中的 powershell 进行样本下载和运行。

5、在此次的攻击事件中,CVE-2017-3248利用不成功,CVE-2017-10271则利用成功,从而导致了服务器被攻击者攻陷,进而在系统日志中留下了痕迹。

告警截图如下:

据观测,该黑客团伙同时在使用 JBoss 和 Struts2 漏洞进行攻击尝试和渗透行为。

检测措施

1.  网络流量:

使用附录中的IOC结合日志和防病毒安全套件等系统进行自查和清理。

详情:通过防火墙检查与IP 72.11.140.178的连接。

2.  尽快对失陷机器进行排查和清理,检查主机日志中是否出现以下字符串:

对于 Linux 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.对于 Windows 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出现,则说明系统已被入侵。

行动建议

·及时更新补丁。

·加强生产网络的威胁监控,及时发现潜在威胁。

附录

IOC:72.11.140.178

以上内容来自微步在线投稿,雷锋网编辑。

本文来自企鹅号 - 雷锋网媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

windows 应急流程及实战演练

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵...

66440
来自专栏Danny的专栏

如何防止自己的电脑成为肉鸡?

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

52430
来自专栏信安之路

模拟挖矿黑客攻击过程

眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS...

28200
来自专栏安恒信息

“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控...

40770
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

35220
来自专栏FreeBuf

攻击者侵入系统后如何提升账户权限:提权技术详细分析

提权 通常而言,恶意攻击者侵入到某个系统最初往往只能获取到一个普通权限的账户。但这无疑给进一步的渗透带来了阻碍,因此攻击者会开始尝试通过各种手段来提升自己的账户...

35330
来自专栏FreeBuf

详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码...

29440
来自专栏desperate633

Python爬虫之robots协议案例

意思就是 对于所有的user-agent: 不可以访问一下url Disallow: /?* Disallow: /pop/.html Disallo...

11320
来自专栏www.96php.cn

thinkphp整合系列之微信扫码支付

thinkphp整合系列之微信扫码支付 一:导入sdk /ThinkPHP/Library/Vendor/Weixinpay 鹅厂的sdk那酸爽谁用谁知道;...

46190
来自专栏FreeBuf

GitHub现VMware虚拟机逃逸Exploit,利用三月曝光的CVE-2017-4901漏洞

今年的Pwn2Own大赛后,VMware近期针对其ESXi、Wordstation和Fusion部分产品发布更新,修复在黑客大赛中揭露的一些高危漏洞。事实上在大...

42170

扫码关注云+社区

领取腾讯云代金券