黑客利用最新高危WebLogic漏洞对服务器发起攻击

时间:2019-01-11 12:10:32   |    系统故障   |   

摘要:

近日,微步在线监测到黑客利用WebLogic反序列化漏洞(CVE-2017-3248)和WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。其中,CVE-2017-12071是一个最新的利用Oracle WebLogicWLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 10 月份发布了该漏洞的补丁。

该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。

攻击者能够同时攻击WindowsLinux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。

 

评价:

根据捕获到的 pcap 包分析,攻击者选定要攻击的目标主机后,将首先利用漏洞CVE-2017-3248进行攻击,无论是否成功,都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先针对Windows系统,再针对Linux系统。信息安全对于企业服务器来说非常重要,及时更新并安装补丁能够进行有效保护。同时无论是任何行业,都要注意安全防范,可利用本地日志检测和远程监测poc进行防范。