黑客利用最新高危WebLogic漏洞对服务器发起攻击

编号:TB-2017-0010

报告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、远程执行、反序列化、挖矿

TLP: 白 (报告转发及使用不受限制)

日期: 2017-12-21

摘要

近日，微步在线监测到黑客利用WebLogic 反序列化漏洞（CVE-2017-3248）和WebLogic WLS 组件漏洞（CVE-2017-10271）对企业服务器发起大范围远程攻击，有大量企业的服务器被攻陷，且被攻击企业数量呈现明显上升趋势，需要引起高度重视。其中，CVE-2017-12071是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，属于没有公开细节的野外利用漏洞，大量企业尚未及时安装补丁。官方在 2017 年 10 月份发布了该漏洞的补丁。

该漏洞的利用方法较为简单，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限，危害巨大。由于漏洞较新，目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后，很可能出现攻击事件数量激增，大量新主机被攻陷的情况。

攻击者能够同时攻击Windows及Linux主机，并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛，攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。微步在线提醒客户注意安全防范，我们提供了此次攻击的详细信息及技术指标，本地日志检测方法，远程检测POC，帮助企业安全团队进行检测。

漏洞参考链接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

事件概要

详情

根据捕获到的 pcap 包分析，攻击者选定要攻击的目标主机后，将首先利用漏洞CVE-2017-3248进行攻击，无论是否成功，都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中，都是先针对Windows系统，再针对Linux系统。具体攻击流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Linux 中的 wget 进行样本下载和运行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Windows 中的 PowerShell 进行样本下载和运行。

3、利用 WebLogic WLS 组件漏洞（CVE-2017-10271）调用 Linux 中的 wget 进行样本下载和运行。

4、利用 WebLogic WLS 组件漏洞（CVE-2017-10271）调用 Windows 中的 powershell 进行样本下载和运行。

5、在此次的攻击事件中，CVE-2017-3248利用不成功，CVE-2017-10271则利用成功，从而导致了服务器被攻击者攻陷，进而在系统日志中留下了痕迹。

微步在线的威胁检测平台（TIP）可检测此攻击，并在第一时间告警。告警截图如下：

微步在线同时观测到，该黑客团伙同时在使用JBoss和Struts2漏洞进行攻击尝试和渗透行为。

检测措施

以下3种方式，任意一种即可：

1. 网络流量：

使用附录中的IOC结合日志和防病毒安全套件等系统进行自查和清理。

详情：通过防火墙检查与IP 72.11.140.178的连接。

2. 尽快对失陷机器进行排查和清理，检查主机日志中是否出现以下字符串：

对于 Linux 主机，检查日志中是否出现以下字符串：

java.io.IOException: Cannot run program "cmd.exe":java.io.IOException: error=2, No such file or directory

b.对于 Windows 主机，检查日志中是否出现以下字符串：

java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory

若出现，则说明系统已被入侵。

3. 使用微步在线提供的排查脚本进行检测，同时提供Linux版本和Windows版本。

详见附录中“漏洞排查脚本”部分。

行动建议

及时更新补丁

加强生产网络的威胁监控，及时发现潜在威胁。

附录

IOC：

72.11.140.178

漏洞排查脚本：

微步在线是中国网络安全威胁情报领军品牌。致力于以威胁情报为核心的安全服务，为客户提供及时、准确、可以指导行动的威胁情报。帮助客户检测和防御正在发生和即将发生的网络威胁。公司推出了国内第一个综合性的威胁分析平台，并针对企业需求推出了基于进出站流量的威胁检测解决方案。

威胁分析平台：http://x.threatbook.cn

联系我们：

地址： 北京市海淀区丹棱街18号创富大厦1505