?黑客利用高危漏洞 WebLogic 對服務器發起攻擊，大量企業服務器已被攻陷

雷鋒網編者按：12月22日，雷鋒網從微步在線了解到，有黑客正在利用 WebLogic 反序列化漏洞（CVE-2017-3248）和 WebLogic WLS 組件漏洞（CVE-2017-10271）對企業服務器發起大范圍遠程攻擊，有大量企業的服務器已被攻陷，且被攻擊企業數量呈現明顯上升趨勢，需要引起高度重視。

其中，CVE-2017-12071是一個最新的利用 Oracle WebLogic 中 WLS 組件的遠程代碼執行漏洞，屬于沒有公開細節的野外利用漏洞，雖然官方在 2017 年 10 月份發布了該漏洞的補丁，但大量企業尚未及時安裝補丁。

以下為微步在線的投稿。

編號:TB-2017-0010

報告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、遠程執行、反序列化、挖礦

TLP: 白 (報告轉發及使用不受限制) 

日期: 2017-12-21

漏洞利用方法

該漏洞的利用方法較為簡單，攻擊者只需要發送精心構造的 HTTP 請求，就可以拿到目標服務器的權限，危害巨大。由于漏洞較新，目前仍然存在很多主機尚未更新相關補丁。預計在此次突發事件之后，很可能出現攻擊事件數量激增，大量新主機被攻陷的情況。

攻擊者能夠同時攻擊Windows及Linux主機，并在目標中長期潛伏。由于Oracle WebLogic 的使用面較為廣泛，攻擊面涉及各個行業。此次攻擊中使用的木馬為典型的比特幣挖礦木馬，但該漏洞可被黑客用于其它目的攻擊。

漏洞參考鏈接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

事件概要

詳情

根據捕獲到的 pcap 包分析，攻擊者選定要攻擊的目標主機后，將首先利用漏洞CVE-2017-3248進行攻擊，無論是否成功，都將再利用CVE-2017-10271進行攻擊。在每一次的攻擊過程中，都是先針對Windows系統，再針對Linux系統。具體攻擊流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調用 Linux 中的 wget 進行樣本下載和運行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調用 Windows 中的 PowerShell 進行樣本下載和運行。

3、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調用 Linux 中的 wget 進行樣本下載和運行。

4、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調用 Windows 中的 powershell 進行樣本下載和運行。

5、在此次的攻擊事件中，CVE-2017-3248利用不成功，CVE-2017-10271則利用成功，從而導致了服務器被攻擊者攻陷，進而在系統日志中留下了痕跡。

告警截圖如下：

據觀測，該黑客團伙同時在使用 JBoss 和 Struts2 漏洞進行攻擊嘗試和滲透行為。

檢測措施

1.  網絡流量：

使用附錄中的IOC結合日志和防病毒安全套件等系統進行自查和清理。

詳情：通過防火墻檢查與IP 72.11.140.178的連接。

2.  盡快對失陷機器進行排查和清理，檢查主機日志中是否出現以下字符串： 

對于 Linux 主機，檢查日志中是否出現以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.對于 Windows 主機，檢查日志中是否出現以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出現，則說明系統已被入侵。

行動建議

·及時更新補丁。

·加強生產網絡的威脅監控，及時發現潛在威脅。

附錄

IOC：72.11.140.178

為避免相關 POC 腳本被惡意利用，引起更大范圍的破壞，如需具體 POC 腳本，可聯系： contactus@threatbook.cn

以上內容來自微步在線投稿，雷鋒網編輯。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。