黑客利用WebLogic 反序列化漏洞(CVE-2017-3248)和WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。其中,CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 年 10 月份发布了该漏洞的补丁。
该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。
攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。
Oracle官方描述
漏洞编号
CVE-2017-10271
影响版本
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.2.1.2
Oracle Weblogic Server 12.2.1.1
Oracle Weblogic Server 12.1.3.0
临时解决方案
根据实际环境路径,删除WebLogic程序下列war包及目录。
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
重启WebLogic或系统后,确认以下链接访问是否为404
http://x.x.x.x:7001/wls-wsat
漏洞自查
对于 Linux 主机,检查日志中是否出现以下字符串:
java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory
对于 Windows 主机,检查日志中是否出现以下字符串:
java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory
若出现,则说明系统已被入侵。
漏洞补丁
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
参考
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
http://suo.im/I3NjS
http://suo.im/19DoNp
![CVE-2021-2109 Weblogic RCE[附漏洞利用代码]-微慑信息网-VulSee.com](https://vulsee.com/wp-content/uploads/2021/01/beepress5-1611235089-220x150.jpeg)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
