黑客利用高危漏洞 WebLogic 對服務(wù)器發(fā)起攻擊，大量企業(yè)服務(wù)器已被攻陷

責(zé)任編輯：editor006 作者：郭佳 |來源：企業(yè)網(wǎng)D1Net 2017-12-22 17:52:16 本文摘自：雷鋒網(wǎng)

雷鋒網(wǎng)編者按：12月22日，雷鋒網(wǎng)從微步在線了解到，有黑客正在利用 WebLogic 反序列化漏洞（CVE-2017-3248）和 WebLogic WLS 組件漏洞（CVE-2017-10271）對企業(yè)服務(wù)器發(fā)起大范圍遠程攻擊，有大量企業(yè)的服務(wù)器已被攻陷，且被攻擊企業(yè)數(shù)量呈現(xiàn)明顯上升趨勢，需要引起高度重視。

其中，CVE-2017-12071是一個最新的利用 Oracle WebLogic 中 WLS 組件的遠程代碼執(zhí)行漏洞，屬于沒有公開細節(jié)的野外利用漏洞，雖然官方在 2017 年 10 月份發(fā)布了該漏洞的補丁，但大量企業(yè)尚未及時安裝補丁。

以下為微步在線的投稿。

編號:TB-2017-0010

報告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、遠程執(zhí)行、反序列化、挖礦

TLP: 白 (報告轉(zhuǎn)發(fā)及使用不受限制)

日期: 2017-12-21

漏洞利用方法

該漏洞的利用方法較為簡單，攻擊者只需要發(fā)送精心構(gòu)造的 HTTP 請求，就可以拿到目標服務(wù)器的權(quán)限，危害巨大。由于漏洞較新，目前仍然存在很多主機尚未更新相關(guān)補丁。預(yù)計在此次突發(fā)事件之后，很可能出現(xiàn)攻擊事件數(shù)量激增，大量新主機被攻陷的情況。

攻擊者能夠同時攻擊Windows及Linux主機，并在目標中長期潛伏。由于Oracle WebLogic 的使用面較為廣泛，攻擊面涉及各個行業(yè)。此次攻擊中使用的木馬為典型的比特幣挖礦木馬，但該漏洞可被黑客用于其它目的攻擊。

漏洞參考鏈接：

事件概要

黑客利用高危漏洞 WebLogic 對服務(wù)器發(fā)起攻擊，大量企業(yè)服務(wù)器已被攻陷

　　詳情

根據(jù)捕獲到的 pcap 包分析，攻擊者選定要攻擊的目標主機后，將首先利用漏洞CVE-2017-3248進行攻擊，無論是否成功，都將再利用CVE-2017-10271進行攻擊。在每一次的攻擊過程中，都是先針對Windows系統(tǒng)，再針對Linux系統(tǒng)。具體攻擊流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Linux 中的 wget 進行樣本下載和運行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Windows 中的 PowerShell 進行樣本下載和運行。

3、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Linux 中的 wget 進行樣本下載和運行。

4、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Windows 中的 powershell 進行樣本下載和運行。

5、在此次的攻擊事件中，CVE-2017-3248利用不成功，CVE-2017-10271則利用成功，從而導(dǎo)致了服務(wù)器被攻擊者攻陷，進而在系統(tǒng)日志中留下了痕跡。

告警截圖如下：

黑客利用高危漏洞 WebLogic 對服務(wù)器發(fā)起攻擊，大量企業(yè)服務(wù)器已被攻陷

　　據(jù)觀測，該黑客團伙同時在使用 JBoss 和 Struts2 漏洞進行攻擊嘗試和滲透行為。

檢測措施

1. 網(wǎng)絡(luò)流量：

使用附錄中的IOC結(jié)合日志和防病毒安全套件等系統(tǒng)進行自查和清理。

詳情：通過防火墻檢查與IP 72.11.140.178的連接。

2. 盡快對失陷機器進行排查和清理，檢查主機日志中是否出現(xiàn)以下字符串：

對于 Linux 主機，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.對于 Windows 主機，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出現(xiàn)，則說明系統(tǒng)已被入侵。

行動建議

·及時更新補丁。

·加強生產(chǎn)網(wǎng)絡(luò)的威脅監(jiān)控，及時發(fā)現(xiàn)潛在威脅。

附錄

IOC：72.11.140.178

為避免相關(guān) POC 腳本被惡意利用，引起更大范圍的破壞，如需具體 POC 腳本，可聯(lián)系： [email protected]

以上內(nèi)容來自微步在線投稿，雷鋒網(wǎng)編輯。

關(guān)鍵字：WebLogic Java

黑客利用高危漏洞 WebLogic 對服務(wù)器發(fā)起攻擊，大量企業(yè)服務(wù)器已被攻陷

責(zé)任編輯：editor006 作者：郭佳 |來源：企業(yè)網(wǎng)D1Net 2017-12-22 17:52:16 本文摘自：雷鋒網(wǎng)

以下為微步在線的投稿。

編號:TB-2017-0010

報告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、遠程執(zhí)行、反序列化、挖礦

TLP: 白 (報告轉(zhuǎn)發(fā)及使用不受限制)

日期: 2017-12-21

漏洞利用方法

漏洞參考鏈接：

事件概要

　　詳情

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Linux 中的 wget 進行樣本下載和運行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Windows 中的 PowerShell 進行樣本下載和運行。

3、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Linux 中的 wget 進行樣本下載和運行。

4、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Windows 中的 powershell 進行樣本下載和運行。

告警截圖如下：

　　據(jù)觀測，該黑客團伙同時在使用 JBoss 和 Struts2 漏洞進行攻擊嘗試和滲透行為。

檢測措施

1. 網(wǎng)絡(luò)流量：

使用附錄中的IOC結(jié)合日志和防病毒安全套件等系統(tǒng)進行自查和清理。

詳情：通過防火墻檢查與IP 72.11.140.178的連接。

2. 盡快對失陷機器進行排查和清理，檢查主機日志中是否出現(xiàn)以下字符串：

對于 Linux 主機，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.對于 Windows 主機，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出現(xiàn)，則說明系統(tǒng)已被入侵。

行動建議

·及時更新補丁。

·加強生產(chǎn)網(wǎng)絡(luò)的威脅監(jiān)控，及時發(fā)現(xiàn)潛在威脅。

附錄

IOC：72.11.140.178

為避免相關(guān) POC 腳本被惡意利用，引起更大范圍的破壞，如需具體 POC 腳本，可聯(lián)系： [email protected]

以上內(nèi)容來自微步在線投稿，雷鋒網(wǎng)編輯。

關(guān)鍵字：WebLogic Java

精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

黑客利用高危漏洞 WebLogic 對服務(wù)器發(fā)起攻擊，大量企業(yè)服務(wù)器已被攻陷

相關(guān)文章

黑客利用高危漏洞 WebLogic 對服務(wù)器發(fā)起攻擊，大量企業(yè)服務(wù)器已被攻陷

網(wǎng)站地圖

聯(lián)系我們：

投稿信箱：