你的 WebLogic 正在为黑客挖矿!
近期,大量使用WebLogic服务器的企业受到黑客攻击,该攻击利用的是未打补丁的WebLogic服务器存在的高危漏洞,CVE编号为CVE-2017-10271。到目前为止,网络中已流传出多个版本的利用工具。深信服千里目安全实验室紧急预警,提醒广大WebLogic用户做好安全防护措施。
病毒分析
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
漏洞描述
攻击者可以利用WebLogic wls-wsat组件漏洞,构造恶意数据包,触发反序列化导致远程命令执行。在近期处理的多次安全应急处置事件中发现,此漏洞已被挖矿程序watch-smartd所利用。
漏洞复现
千里实验室在本地搭建WebLogic环境,选取网络上公开的PoC进行漏洞复现,通过此漏洞在/tmp目录下执行创建Sangfor文件,成功执行:
影响版本
目前受影响的版本有:
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.1
Oracle WebLogic Server 12.1.3.0
解决方案
漏洞检测
不清楚网站是否存在漏洞的用户,请登录深信服云眼系统,申请免费检测,注册地址:
https://saas.sangfor.com.cn/src/anti-tamper/login.html?type=eyeCloud
修复建议
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20171222B0RE9X00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
