随着比特币,以太坊,门罗币等数字货币的兴起,越来越多的黑产人员将目光投入到这一领域。目前主流的攻击方式是通过控制服务器下载并执行挖矿病毒牟利,也有通过感染普通用户电脑运行病毒的情况,甚至还有通过篡改网站代码、嵌入js挖矿代码的方式,普通用户一旦打开浏览器访问网站时就会被静默执行挖矿指令。而服务器由于带宽大,计算性能高,成为目前黑客的首选攻击目标。
近期迪普科技安全研究院接到运营商、高校、大企业等客户反馈Weblogic服务器运行异常,经排查后发现有黑客大批量使用Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)批量种植挖矿病毒进行黑产活动。
漏洞详情
Weblogic是Oracle公司出品的一款应用服务器,通常也会被称为中间件,主要用于大型分布式Web应用的开发和部署,在国内外应用非常广泛。
Weblogic曾出现过多次Java反序列化漏洞和反序列化绕过漏洞,包括CVE-2016-0638,CVE-2016-3510,CVE-2017-3248等。
最新出现的Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271),是利用WLS组件的XMLDecoder功能进行攻击的漏洞。Oracle官网曾对该组件的漏洞进行过修补,由于修补不充分可被绕过,因此出现了目前的攻击方式。黑客通过发送精心构造的XML数据包,可以达到任意代码执行的效果。该漏洞利用简单,非常适合大规模的自动化感染。
挖矿病毒植入过程模拟
1、 黑客首先编写扫描程序,对互联网存活的Weblogic服务器进行批量的漏洞扫描。
2、 对于每个存在漏洞的Weblogic服务器,发送攻击代码种植后门获取服务器权限。
3、在Weblogic服务器上执行命令,下载并运行挖矿病毒。
挖矿程序运行后会极大消耗系统资源,挖掘数字货币为黑客赚取利益,影响到服务器正常运行。
由于该漏洞威胁级别较高,建议使用到Weblogic漏洞版本的用户及时修补和防护,避免遭到黑客攻击。
临时解决方案
1、受Weblogic XMLDecoder反序列化(CVE-2017-10271)影响版本:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.1.0
Oracle WebLogic Server 12.2.1.2.0
建议及时打上补丁进行防护,补丁地址:http://www.oracle.com/technetwork/cn/topics/security/cpuoct2017-3236626-zhs.html
2、在确定不使用wls-wsat组件的情况下,做好备份后删除相应的war包。
迪普科技解决方案
迪普科技安全研究院监测到Weblogic反序列化漏洞后,迅速采取了应急措施。
1、目前DPtech IPS2000、FW1000、WAF3000可对该漏洞的攻击进行有效防护,对应特征库版本号如下:
◆产品系列:IPS2000,FW1000
◆漏洞库版本:IPS-R2.1.187,IPS-R3.1.21
◆产品系列:WAF3000
◆漏洞库版本:WAF3000-R2.1.33及以上版本
2、DPtech Scanner1000可对该漏洞进行检测,帮助用户提前发现系统风险。对应漏扫库版本号如下:
◆产品系列:Scanner1000
◆漏扫库版本: SCANNER1000-R2.2.27
3、迪普科技官网特征库下载地址:
http://www.dptech.com/down.php?3(点击阅读原文下载)
迪普科技正在全力跟踪相关漏洞以及挖矿病毒的传播态势,请启动设备自动更新特征库功能,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解相关情况。
迪普科技
让网络更简单·智能·安全
