背景介绍
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。Oracle Fusion Middleware(Oracle融合中间件)是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。
漏洞概述
漏洞编号:CVE-2017-10271
Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。
攻击面影响
影响版本:
Oracle WebLogic Server 10.3.6.0.0版本
Oracle WebLogic Server 12.1.3.0.0版本
Oracle WebLogic Server 12.2.1.1.0版本
影响面:
近期发现攻击者利用了Oracle WebLogic中WLS 组件漏洞(CVE-2017-10271),对服务器发起大范围远程攻击,攻击成功后植入挖矿后门程序。整个攻击过程如下:
1) 攻击者收集使用WebLogic中间件搭建的服务器
2) 通过WebLogic WLS 组件漏洞(CVE-2017-10271)攻击服务器
3) 漏洞攻击成功后运行挖矿程序
例如,对于Linux主机,查看是否有watch-smartd、carbon进程,查看/tmp目录下是否存在文件watch-smartd、carbon。如果有,说明已经感染挖矿病毒。
修复建议
2、对访问wls-wsat的资源进行访问控制。
3、临时解决方案:根据实际环境路径,删除WebLogic程序下列war包及目录,
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
检测方法
手工检查:
a) 对于 Linux 主机,检查日志中是否出现以下字符串:
java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory
b) 对于 Windows 主机,检查日志中是否出现以下字符串:
java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory
若出现,则说明系统已被入侵。
工具检查:
工具网盘下载地址:https://pan.baidu.com/s/1jH7dhvo
工具界面如下:
领取专属 10元无门槛券
私享最新 技术干货