UCloud-201712-003:WebLogic主机感染挖矿病毒威胁安全预警 | U刻
  • UCloud-201712-003:WebLogic主机感染挖矿病毒威胁安全预警

    栏目:安全资讯

    尊敬的UCloud用户:

    近期WebLogic被发现存在0day漏洞,大量WebLogic服务器被黑客攻陷,危害严重。请及时检查您所使用的WebLogic是否受影响,并采取安全防御措施。

    影响范围
    【CVE-2017-3248】
    Oracle Weblogic Server 10.3.6 0
    Oracle Weblogic Server 12.1.3.0
    Oracle Weblogic Server 12.2.1.0
    Oracle Weblogic Server 12.2.1.1
    【CVE-2017-10271】
    Oracle Weblogic Server 10.3.6 0
    Oracle Weblogic Server 12.1.3.0
    Oracle Weblogic Server 12.2.1.1

    Oracle Weblogic Server 12.2.1.2

    修复方案
    1、使用UWEWAF进行安全防护
    2、及时更新补丁
    3、删除war包
    根据实际环境路径,删除WebLogic程序下列war包及目录,然后重启WebLogic服务或系统后,确认以下链接访问是否为404:http://ip:port/wls-wsat/CoordinatorPortType11
    rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
    rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
    rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
    4、设置网络访问控制

    配置http://ip:port/wls-wsat 网络访问控制策略,禁止外网可以直接访问

    漏洞详情

    CVE-2017-12071是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞 ,CVE-2017-3248 为 WebLogic 反序列化漏洞。攻击者只需要发送精心构造的 HTTP 请求,就可以利用两个漏洞远程命令执行漏洞拿到目标服务器的权限、下载并运行挖矿程序。

    参考链接

    2