【处置建议】Weblogic WLS 组件漏洞

近期绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈,发现Weblogic主机被攻击者植入恶意程序,经分析,攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271),构造payload下载并执行虚拟币挖矿程序,对Weblogic中间件主机进行攻击。

本月15日,Twitter上便有人提到了此次攻击事件的部分细节:

防护方案

由于攻击者利用的是Weblogic wls组件进行的攻击,当Weblogic控制台对公网开放且未及时升级安全补丁的话,就会存在被利用的风险。

官方升级方案

Oracle官方对于Weblogic WLS 组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议及时下载更新包,升级Weblogic。

详情可参考:

http://www.oracle.com/technetwork/cn/topics/security/cpuoct2017-3236626-zhs.html

临时防护方案

根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除。

  1. 根据实际环境路径,删除WebLogic wls-wsat组件:
    rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
    
    rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
    
    rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
  2. 重启Weblogic域控制器服务。
    DOMAIN_NAME/bin/stopWeblogic.sh    #停止服务
    
    DOMAIN_NAME/bin/startManagedWebLogic.sh    #启动服务
    

关于重启Weblogic服务的详细信息,可参考如下官方文档:

https://docs.oracle.com/cd/E13222_01/wls/docs90/server_start/overview.html

WAF自定义规则防护

为及时形成对Weblogic远程代码执行漏洞的防护能力,减少因此漏洞导致的损失,部署有绿盟科技WAF的用户可通过自定义规则的方式用来及时防护该漏洞,自定义规则如下:

(uri * rco /wls-wsat/CoordinatorPortType)

请参考如下步骤对临时规则进行部署:

  1. 新建自定义规则,依次点击“安全管理”-“规则库管理”-“自定义”-“新建”
  2. 将自定义规则命名为“Weblogic wls-wsat RCE”。
  3. 依次按照如下截图进行设置:

检测对象:URI

匹配操作:正则包含

检测值:/wls-wsat/CoordinatorPortType

  1. 新建自定义策略,依次点击“安全管理”-“策略管理”-“自定义策略”-“新建”。

设置策略名称为“Weblogic wls-wsat RCE”,勾选刚刚新建的“Weblogic wls-wsat RCE”规则后点击确定。

  1. 在站点添加自定义策略,依次点击“安全管理”-“站点防护”-“根据需要选择需要防护的站点”-“Web安全防护”。

在自定义策略中勾选刚刚创建的“Weblgic wls-wsat RCE”策略后,点击确定即可启用自定义的规则进行防护。

防护效果如下,可以看到,针对该漏洞的攻击已经进行了有效的阻断:

挖矿木马检测

由于此次攻击主要目的为下载执行挖矿程序,从主机层面可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对C&C地址及矿池相关域名/IP进行监控,以发现其他受感染主机。

针对linux主机,首先查看/tmp目录中是否存在属主为WebLogic运行账户的相关可疑文件,如:watch-smartd、Carbon、default。

同时通过进程及系统资源分析,是否存在启动用户为WebLogic运行账户的相关可疑进程。

同时在网络层,通过防火墙或相关的入侵防御设备,对C&C地址及矿池相关域名/IP进行监测,涉及域名及IP包括:

minergate.com

minexmr.com

78.46.91.134

104.25.208.15

104.25.209.15

136.243.102.167

136.243.102.154

94.130.143.162

88.99.142.163

72.11.140.178

 

声 明

=============

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

==============

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

Spread the word. Share this post!

Meet The Author

Leave Comment