雷鋒網(wǎng)編者按：12月22日，雷鋒網(wǎng)從微步在線了解到，有黑客正在利用 WebLogic 反序列化漏洞（CVE-2017-3248）和 WebLogic WLS 組件漏洞（CVE-2017-10271）對企業(yè)服務(wù)器發(fā)起大范圍遠(yuǎn)程攻擊，有大量企業(yè)的服務(wù)器已被攻陷，且被攻擊企業(yè)數(shù)量呈現(xiàn)明顯上升趨勢，需要引起高度重視。

其中，CVE-2017-12071是一個(gè)最新的利用 Oracle WebLogic 中 WLS 組件的遠(yuǎn)程代碼執(zhí)行漏洞，屬于沒有公開細(xì)節(jié)的野外利用漏洞，雖然官方在 2017 年 10 月份發(fā)布了該漏洞的補(bǔ)丁，但大量企業(yè)尚未及時(shí)安裝補(bǔ)丁。

以下為微步在線的投稿。

編號:TB-2017-0010

報(bào)告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、遠(yuǎn)程執(zhí)行、反序列化、挖礦

TLP: 白 (報(bào)告轉(zhuǎn)發(fā)及使用不受限制) 

日期: 2017-12-21

漏洞利用方法

該漏洞的利用方法較為簡單，攻擊者只需要發(fā)送精心構(gòu)造的 HTTP 請求，就可以拿到目標(biāo)服務(wù)器的權(quán)限，危害巨大。由于漏洞較新，目前仍然存在很多主機(jī)尚未更新相關(guān)補(bǔ)丁。預(yù)計(jì)在此次突發(fā)事件之后，很可能出現(xiàn)攻擊事件數(shù)量激增，大量新主機(jī)被攻陷的情況。

攻擊者能夠同時(shí)攻擊Windows及Linux主機(jī)，并在目標(biāo)中長期潛伏。由于Oracle WebLogic 的使用面較為廣泛，攻擊面涉及各個(gè)行業(yè)。此次攻擊中使用的木馬為典型的比特幣挖礦木馬，但該漏洞可被黑客用于其它目的攻擊。

漏洞參考鏈接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

事件概要

詳情

根據(jù)捕獲到的 pcap 包分析，攻擊者選定要攻擊的目標(biāo)主機(jī)后，將首先利用漏洞CVE-2017-3248進(jìn)行攻擊，無論是否成功，都將再利用CVE-2017-10271進(jìn)行攻擊。在每一次的攻擊過程中，都是先針對Windows系統(tǒng)，再針對Linux系統(tǒng)。具體攻擊流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Linux 中的 wget 進(jìn)行樣本下載和運(yùn)行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Windows 中的 PowerShell 進(jìn)行樣本下載和運(yùn)行。

3、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Linux 中的 wget 進(jìn)行樣本下載和運(yùn)行。

4、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Windows 中的 powershell 進(jìn)行樣本下載和運(yùn)行。

5、在此次的攻擊事件中，CVE-2017-3248利用不成功，CVE-2017-10271則利用成功，從而導(dǎo)致了服務(wù)器被攻擊者攻陷，進(jìn)而在系統(tǒng)日志中留下了痕跡。

告警截圖如下：

據(jù)觀測，該黑客團(tuán)伙同時(shí)在使用 JBoss 和 Struts2 漏洞進(jìn)行攻擊嘗試和滲透行為。

檢測措施

1.  網(wǎng)絡(luò)流量：

使用附錄中的IOC結(jié)合日志和防病毒安全套件等系統(tǒng)進(jìn)行自查和清理。

詳情：通過防火墻檢查與IP 72.11.140.178的連接。

2.  盡快對失陷機(jī)器進(jìn)行排查和清理，檢查主機(jī)日志中是否出現(xiàn)以下字符串： 

對于 Linux 主機(jī)，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.對于 Windows 主機(jī)，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出現(xiàn)，則說明系統(tǒng)已被入侵。

行動(dòng)建議

·及時(shí)更新補(bǔ)丁。

·加強(qiáng)生產(chǎn)網(wǎng)絡(luò)的威脅監(jiān)控，及時(shí)發(fā)現(xiàn)潛在威脅。

附錄

IOC：72.11.140.178

為避免相關(guān) POC 腳本被惡意利用，引起更大范圍的破壞，如需具體 POC 腳本，可聯(lián)系： contactus@threatbook.cn

以上內(nèi)容來自微步在線投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。