一、 WebLogic组件远程命令执行漏洞
时间:2022-04-26 13:51:01 | 来源:行业动态
时间:2022-04-26 13:51:01 来源:行业动态
2017年12月15日,国外安全研究者K.Orange在Twitter上爆出有黑产团体利用WebLogic反序列化漏洞(CVE-2017-3248、CVE-2017-10271)对全球服务器发起大规模攻击。有大量企业服务器已失陷且被安装上了 watch-smartd 挖矿程序。
其中 CVE-2017-10271 是一个最新的利用 Oracle WebLogic 中 WLS 组件的远程代码执行漏洞,属于官方没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。更糟糕的是野外已经开始流传部分 EXP 代码。
这两个漏洞的组合利用方式如下:攻击者在发起攻击前,通过其他手段收集大量 WebLogic 目标主机(包括 Windows 和Linux),然后利用漏洞 CVE-2017-3248 进行攻击,无论是否成功,都将再利用 CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先执行基于 Windows 系统的 payload,然后再执行Linux 系统 payload,且无区分目标主机操作系统。即 Windows 和 Linux 的 payload 都会被执行一遍。
据评估,在2018年1月潜在受影响主机数量超过 2000 台,发动攻击的恶意主机 PC 超过 400 台,整体影响面较大,综合分析威胁等级为高。