欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 4520|回复: 0

[安全通知] 关于WebLogic CVE-2017-10271漏洞导致主机感染挖矿病毒的安全预警

[复制链接]

217

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33580
威望
13853
发表于 2017-12-22 11:32:00 |显示全部楼层
尊敬的腾讯云客户:
        您好,近日,腾讯云安全中心监测到近期黑客利用WebLogic反序列化漏洞(CVE-2017-3248)以及WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击已有部分客户被挖矿程序watch-smartd所利用,攻击者可利用该漏洞在WebLogic服务器/tmp/目录安装植入watch-smartd程序,在后台运行极大消耗服务器CPU和内存资源。
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
  此次攻击者所利用的漏洞中,CVE-2017-12071是Oracle WebLogic中WLS 组件的最新的远程代码执行漏洞,官方在 2017 年 10 月份发布了该漏洞的补丁,由于没有公开细节,大量企业尚未及时安装补丁,导致被控制用户量逐渐增加该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大,被进一步利用下载和运行挖矿程序watch-smartd,消耗服务器大量内存和CPU资源。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。

【风险等级】
   高风险

【漏洞风险】
   远程命令执行,可被攻击者植入挖矿程序,消耗服务器及内存资源

【修复建议】
   1、由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业,攻击者可利用该漏洞同时攻击Windows及Linux主机,并在目标中长期潜伏,如果您的WebLogic服务暂未受影响,建议您及时安装Oracle官方最新补丁,避免被攻击者利用;
   2、如果您已经受影响,您可以采取如下临时处理措施降低损失:
   1)由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染,建议您根据实际环境路径,删除WebLogic程序下的war包及相关目录:

    rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

    rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

    rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

   2)重启WebLogic或系统后,判断是否可访问链接:http://x.x.x.x:7001/wls-wsat,若无法访问,若是这说明删除成功。

   

【参考链接】
1)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
2)http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html



2017/12/22
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-9-26 23:41 , Processed in 1.127066 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部