• 漏洞描述：

CVE-2017-12071是Oracle WebLogic中WLS 组件的最新的远程代码执行漏洞，官方在 2017 年 10 月份发布了该漏洞的补丁，由于没有公开细节，大量企业尚未及时安装补丁，导致被控制用户量逐渐增加。

该漏洞的利用方法较为简单，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限，危害巨大，被进一步利用下载和运行挖矿程序watch-smartd，消耗服务器大量内存和CPU资源。由于漏洞较新，目前仍然存在很多主机尚未更新相关补丁。

• 影响版本

            Oracle Weblogic Server 10.3.6 0.0 

            Oracle Weblogic Server 12.2.1.1.0[出自:jiwo.org]
            Oracle Weblogic Server 12.2.1.2.0
            Oracle Weblogic Server 12.1.3.0.0

• 修复建议：

1、由于Oracle WebLogic的使用面较为广泛，攻击面涉及各个行业，攻击者可利用该漏洞同时攻击Windows及Linux主机，并在目标中长期潜伏，如果您的WebLogic服务暂未受影响，建议您及时安装Oracle官方最新补丁，避免被攻击者利用；

2、如果您已经受影响，您可以采取如下临时处理措施降低损失：

  1）由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染，建议您根据实际环境路径，删除WebLogic程序下的war包及相关目录：

rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

 2）重启WebLogic或系统后，判断是否可访问链接：http://x.x.x.x:7001/wls-wsat，若无法访问，则说明删除成功。