安全研究

研究报告
Weblogic WLS组件漏洞 技术分析与防护方案

综述

   近日,绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈,发现Weblogic主机被攻击者植入恶意程序,经分析,攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271),构造payload下载并执行虚拟币挖矿程序,对Weblogic中间件主机进行攻击。

受影响的版本

● Weblogic Server 10.3.6.0.0

 Weblogic Server 12.1.3.0.0

 Weblogic Server 12.2.1.1.0

 Weblogic Server 12.2.1.2.0

以上均为Weblogic官方还在支持的版本


不受影响的版本

 Weblogic Server 12.2.1.3


技术防护方案

用户自查

由于此次攻击主要目的为下载执行挖矿程序,从主机层面可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对C&C地址及矿池相关域名/IP进行监控,以发现其他受感染主机。

  

官方修复方案

Oracle官方对于Weblogic WLS组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议用户及时下载更新包,升级至最新版本进行防护。

下载链接:

http://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html


临时防护方案

    根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除。


绿盟科技防护建议

绿盟科技检测类产品与服务

 公网资产可使用绿盟云 紧急漏洞在线检测,检测地址如下:

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

 内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6/V5 )或Web应用漏洞扫描系统(WVSS) 进行检测:

· 远程安全评估系统(RSAS V6)

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

· 远程安全评估系统(RSAS V5)

http://update.nsfocus.com/update/listAurora/v/5

· Web应用漏洞扫描系统(WVSS)

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

 内网资产可以使用绿盟科技的入侵检测系统(IDS)进行检测。

入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

通过上述链接,升级至最新版本即可进行检测

使用绿盟科技防护类产品(IPS/NF/WAF)进行防护:

 入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

 下一代防火墙系统(NF)

http://update.nsfocus.com/update/listNf

 Web应用防护系统(WAF)

http://update.nsfocus.com/update/wafIndex

 通过上述链接,升级至最新版本即可进行防护!

查看完整内容请下载报告

《Weblogic WLS组件漏洞 技术分析与防护方案》


浏览次数:

关 闭