WebLogic CVE-2017-10271漏洞修复教程
WebLogic CVE-2017-10271漏洞修复教程
近日,腾讯云安全中心监测到近期黑客利用WebLogic反序列化漏洞(CVE-2017-3248)以及WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,已有部分客户被挖矿程序watch-smartd所利用,攻击者可利用该漏洞在WebLogic服务器/tmp/目录安装植入watch-smartd程序,在后台运行极大消耗服务器CPU和内存资源。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
此次攻击者所利用的漏洞中,CVE-2017-12071是Oracle WebLogic中WLS 组件的最新的远程代码执行漏洞,官方在 2017 年 10 月份发布了该漏洞的补丁,由于没有公开细节,大量企业尚未及时安装补丁,导致被控制用户量逐渐增加,该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大,被进一步利用下载和运行挖矿程序watch-smartd,消耗服务器大量内存和CPU资源。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。
【风险等级】
高风险
【漏洞风险】
远程命令执行,可被攻击者植入挖矿程序,消耗服务器及内存资源
【修复建议】
1、由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业,攻击者可利用该漏洞同时攻击Windows及Linux主机,并在目标中长期潜伏,如果您的WebLogic服务暂未受影响,建议您及时安装Oracle官方最新补丁,避免被攻击者利用;
2、如果您已经受影响,您可以采取如下临时处理措施降低损失:
1)由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染,建议您根据实际环境路径,删除WebLogic程序下的war包及相关目录:
rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2)重启WebLogic或系统后,判断是否可访问链接:http://x.x.x.x:7001/wls-wsat,若无法访问,若是这说明删除成功。
【参考链接】
1)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
2)http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
目录 返回
首页