WebLogic XMLDecoder反序列化漏洞

背景介绍

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

漏洞概述

漏洞编号：CVE-2017-10271

Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限。攻击者可利用该漏洞控制组件，影响数据的可用性、保密性和完整性。

攻击面影响

影响版本：

Oracle WebLogic Server 10.3.6.0.0版本

Oracle WebLogic Server 12.1.3.0.0版本

Oracle WebLogic Server 12.2.1.1.0版本

影响面：

近期发现攻击者利用了Oracle WebLogic中WLS 组件漏洞（CVE-2017-10271），对服务器发起大范围远程攻击，攻击成功后植入挖矿后门程序。整个攻击过程如下：

1) 攻击者收集使用WebLogic中间件搭建的服务器

2) 通过WebLogic WLS 组件漏洞(CVE-2017-10271)攻击服务器

3) 漏洞攻击成功后运行挖矿程序

例如，对于Linux主机，查看是否有watch-smartd、carbon进程，查看/tmp目录下是否存在文件watch-smartd、carbon。如果有，说明已经感染挖矿病毒。

修复建议

2、对访问wls-wsat的资源进行访问控制。

3、临时解决方案：根据实际环境路径，删除WebLogic程序下列war包及目录，

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

检测方法

手工检查：

a) 对于 Linux 主机，检查日志中是否出现以下字符串：

java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory

b) 对于 Windows 主机，检查日志中是否出现以下字符串：

java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory

若出现，则说明系统已被入侵。

工具检查：

工具网盘下载地址：https://pan.baidu.com/s/1jH7dhvo

工具界面如下：