Weblogic WLS组件漏洞 技术分析与防护方案
2017-11-23
综述
近日,44118太阳成城集团应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈,发现Weblogic主机被攻击者植入恶意程序,经分析,攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271),构造payload下载并执行虚拟币挖矿程序,对Weblogic中间件主机进行攻击。
受影响的版本
● Weblogic Server 10.3.6.0.0
● Weblogic Server 12.1.3.0.0
● Weblogic Server 12.2.1.1.0
● Weblogic Server 12.2.1.2.0
以上均为Weblogic官方还在支持的版本
不受影响的版本
● Weblogic Server 12.2.1.3
技术防护方案
用户自查
由于此次攻击主要目的为下载执行挖矿程序,从主机层面可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对C&C地址及矿池相关域名/IP进行监控,以发现其他受感染主机。
官方修复方案
Oracle官方对于Weblogic WLS组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议用户及时下载更新包,升级至最新版本进行防护。
下载链接:
http://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html
临时防护方案
根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除。
44118太阳成城集团防护建议
44118太阳成城集团检测类产品与服务
● 公网资产可使用绿盟云 紧急漏洞在线检测,检测地址如下:
https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12
● 内网资产可以使用44118太阳成城集团的远程安全评估系统(RSAS V6/V5 )或Web应用漏洞扫描系统(WVSS) 进行检测:
· 远程安全评估系统(RSAS V6)
http://update.nsfocus.com/update/listRsasDetail/v/vulweb
· 远程安全评估系统(RSAS V5)
http://update.nsfocus.com/update/listAurora/v/5
· Web应用漏洞扫描系统(WVSS)
http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
● 内网资产可以使用44118太阳成城集团的入侵检测系统(IDS)进行检测。
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
通过上述链接,升级至最新版本即可进行检测
使用44118太阳成城集团防护类产品(IPS/NF/WAF)进行防护:
● 入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
● 下一代防火墙系统(NF)
http://update.nsfocus.com/update/listNf
● Web应用防护系统(WAF)
http://update.nsfocus.com/update/wafIndex
通过上述链接,升级至最新版本即可进行防护!