漏洞编号
CVE-2017-3248
CVE-2017-10271
背景
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
此中间件目前存在WebLogic 反序列化漏洞(CVE-2017-3248)和WebLogic WLS 组件漏洞(CVE-2017-10271),CVE-2017-12071是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 年 10 月份发布了该漏洞的补丁。
该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。
攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型挖矿木马。但该漏洞可被黑客用于其它目的攻击。天融信提醒客户注意安全防范。
漏洞自查
a) 对于 Linux 主机,检查日志中是否出现以下字符串:
|
1 |
java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory |
b) 对于 Windows 主机,检查日志中是否出现以下字符串:
|
1 |
java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory |
若出现,则说明系统已被入侵。
影响版本
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.2.1.2
Oracle Weblogic Server 12.2.1.1
Oracle Weblogic Server 12.1.3.0
修复建议
临时解决办法
根据实际环境路径,删除WebLogic程序下列war包及目录。
|
1 2 3 4 5 |
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat |
重启WebLogic或系统后,确认以下链接访问是否为404
漏洞补丁
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.htm
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
https://x.threatbook.cn/nodev4/vb4/waparticle?threatInfoID=271
