虚拟化容器,大数据,DBA,中间件,监控。

WebLogic CVE-2017-10271漏洞修复教程

03 01月
作者:admin|分类:应用管理
                              WebLogic CVE-2017-10271漏洞修复教程
   近日,腾讯云安全中心监测到近期黑客利用WebLogic反序列化漏洞(CVE-2017-3248)以及WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击已有部分客户被挖矿程序watch-smartd所利用,攻击者可利用该漏洞在WebLogic服务器/tmp/目录安装植入watch-smartd程序,在后台运行极大消耗服务器CPU和内存资源。
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
  此次攻击者所利用的漏洞中,CVE-2017-12071是Oracle WebLogic中WLS 组件的最新的远程代码执行漏洞,官方在 2017 年 10 月份发布了该漏洞的补丁,由于没有公开细节,大量企业尚未及时安装补丁,导致被控制用户量逐渐增加该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大,被进一步利用下载和运行挖矿程序watch-smartd,消耗服务器大量内存和CPU资源。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。

【风险等级】
   高风险

【漏洞风险】
   远程命令执行,可被攻击者植入挖矿程序,消耗服务器及内存资源

【修复建议】
   1、由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业,攻击者可利用该漏洞同时攻击Windows及Linux主机,并在目标中长期潜伏,如果您的WebLogic服务暂未受影响,建议您及时安装Oracle官方最新补丁,避免被攻击者利用;
   2、如果您已经受影响,您可以采取如下临时处理措施降低损失:
   1)由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染,建议您根据实际环境路径,删除WebLogic程序下的war包及相关目录:

    rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

    rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

    rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

   2)重启WebLogic或系统后,判断是否可访问链接:http://x.x.x.x:7001/wls-wsat,若无法访问,若是这说明删除成功。

   

【参考链接】
1)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
2)http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
G
M
T
文本转语音功能仅限200个字符
浏览2271 评论0
返回
目录
返回
首页
近期大量WebLogic主机感染挖矿病毒 Weblogic uddiexplorer/SSRF漏洞解决方法