【安全预警】WebLogic远程命令执行漏洞(CVE-2017-10271)
· 
漏洞描述: CVE-2017-12071是Oracle WebLogic中WLS 组件的最新的远程代码执行漏洞,官方在 2017 年 10 月份发布了该漏洞的补丁,由于没有公开细节,大量企业尚未及时安装补丁,导致被控制用户量逐渐增加。 该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大,被进一步利用下载和运行挖矿程序watch-smartd,消耗服务器大量内存和CPU资源。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。 ·
影响版本 Oracle Weblogic Server 10.3.6 0.0 Oracle Weblogic Server 12.2.1.1.0
Oracle Weblogic Server 12.2.1.2.0
Oracle Weblogic Server 12.1.3.0.0 ·
修复建议: 1、由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业,攻击者可利用该漏洞同时攻击Windows及Linux主机,并在目标中长期潜伏,如果您的WebLogic服务暂未受影响,建议您及时安装Oracle官方最新补丁,避免被攻击者利用; 2、如果您已经受影响,您可以采取如下临时处理措施降低损失: 1)由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染,建议您根据实际环境路径,删除WebLogic程序下的war包及相关目录: rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat 2)重启WebLogic或系统后,判断是否可访问链接:http://x.x.x.x:7001/wls-wsat,若无法访问,则说明删除成功。
