标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1208] 作者: ecawen 发表于: [2017-12-24]
本文共 [614] 位读者顶过
12月22日,雷锋网从微步在线了解到,有黑客正在利用 WebLogic 反序列化漏洞(CVE-2017-3248)和 WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器已被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。 [出自:jiwo.org] 其中,CVE-2017-12071是一个最新的利用 Oracle WebLogic 中 WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,虽然官方在 2017 年 10 月份发布了该漏洞的补丁,但大量企业尚未及时安装补丁。 以下为微步在线的投稿。 编号:TB-2017-0010 报告置信度:90 TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、远程执行、反序列化、挖矿 TLP: 白 (报告转发及使用不受限制) 日期: 2017-12-21 漏洞利用方法该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。 攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic 的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马,但该漏洞可被黑客用于其它目的攻击。 漏洞参考链接: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271 http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html 事件概要
详情根据捕获到的 pcap 包分析,攻击者选定要攻击的目标主机后,将首先利用漏洞CVE-2017-3248进行攻击,无论是否成功,都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先针对Windows系统,再针对Linux系统。具体攻击流程如下: 1、利用 WebLogic 反序列化漏洞(CVE-2017-3248)调用 Linux 中的 wget 进行样本下载和运行。 2、利用 WebLogic 反序列化漏洞(CVE-2017-3248)调用 Windows 中的 PowerShell 进行样本下载和运行。 3、利用 WebLogic WLS 组件漏洞(CVE-2017-10271)调用 Linux 中的 wget 进行样本下载和运行。 4、利用 WebLogic WLS 组件漏洞(CVE-2017-10271)调用 Windows 中的 powershell 进行样本下载和运行。 5、在此次的攻击事件中,CVE-2017-3248利用不成功,CVE-2017-10271则利用成功,从而导致了服务器被攻击者攻陷,进而在系统日志中留下了痕迹。 告警截图如下:
据观测,该黑客团伙同时在使用 JBoss 和 Struts2 漏洞进行攻击尝试和渗透行为。 检测措施1. 网络流量: 使用附录中的IOC结合日志和防病毒安全套件等系统进行自查和清理。 详情:通过防火墙检查与IP 72.11.140.178的连接。 2. 尽快对失陷机器进行排查和清理,检查主机日志中是否出现以下字符串: 对于 Linux 主机,检查日志中是否出现以下字符串: java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory b.对于 Windows 主机,检查日志中是否出现以下字符串: java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory 若出现,则说明系统已被入侵。 行动建议·及时更新补丁。 ·加强生产网络的威胁监控,及时发现潜在威胁。 附录IOC:72.11.140.178 为避免相关 POC 脚本被恶意利用,引起更大范围的破坏,如需具体 POC 脚本,可联系作者。 |