UCloud-201712-003:WebLogic主机感染挖矿病毒威胁安全预警

安全资讯/

< 返回

UCloud-201712-003:WebLogic主机感染挖矿病毒威胁安全预警

云安全团队

2017.12.25
栏目：安全资讯

尊敬的UCloud用户:

近期WebLogic被发现存在0day漏洞，大量WebLogic服务器被黑客攻陷，危害严重。请及时检查您所使用的WebLogic是否受影响，并采取安全防御措施。

影响范围

【CVE-2017-3248】

Oracle Weblogic Server 10.3.6 0

Oracle Weblogic Server 12.1.3.0

Oracle Weblogic Server 12.2.1.0

Oracle Weblogic Server 12.2.1.1

【CVE-2017-10271】

Oracle Weblogic Server 10.3.6 0

Oracle Weblogic Server 12.1.3.0

Oracle Weblogic Server 12.2.1.1

Oracle Weblogic Server 12.2.1.2

修复方案

1、使用UWEWAF进行安全防护

2、及时更新补丁

Oracle官方补丁：http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html。

3、删除war包

根据实际环境路径，删除WebLogic程序下列war包及目录，然后重启WebLogic服务或系统后，确认以下链接访问是否为404：http://ip:port/wls-wsat/CoordinatorPortType11

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

4、设置网络访问控制

配置http://ip:port/wls-wsat 网络访问控制策略，禁止外网可以直接访问

漏洞详情

CVE-2017-12071是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，CVE-2017-3248 为 WebLogic 反序列化漏洞。攻击者只需要发送精心构造的 HTTP 请求，就可以利用两个漏洞远程命令执行漏洞拿到目标服务器的权限、下载并运行挖矿程序。

参考链接

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章