文档信息

通告背景

2017年12月15日，国外安全研究者K.Orange在Twitter上爆出有黑产团体利用WebLogic 反序列化漏洞（CVE-2017-3248、CVE-2017-10271）对全球服务器发起大规模攻击。有大量企业服务器已失陷且被安装上了watch-smartd挖矿程序。鉴于近期比特币等虚拟货币疯涨的利益驱动力，预计未来一周攻击规模可能呈上升趋势。在此强烈提醒相关单位、机构积极采取有效防御措施，降低风险。

如下：

相关漏洞概要

其中CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，属于官方没有公开细节的野外利用漏洞，大量企业尚未及时安装补丁。更糟糕的是野外流传部分EXP代码，如下图：

以上2漏洞的利用难度较低，攻击者只需要发送特定构造的 HTTP 请求，就可以在目标服务器上执行任意命令，危害巨大。由于漏洞较新，目前仍然存在很多主机尚未更新相关补丁。

事件攻击流程描述

攻击者在发起攻击前，通过其他手段收集大量WebLogic目标主机（包括Windows和Linux），然后利用漏洞CVE-2017-3248进行攻击，无论是否成功，都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中，都是先执行基于Windows系统的payload，然后再执行Linux系统payload，且无区分目标主机操作系统。即Windows和Linux的payload都会被执行一遍。

具体攻击流程如下：

1. 通过http请求利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Windows 中的“cmd.exe /c”连环调用“PowerShell.exe”进行样本下载和恶意代码执行。

2. 通过http请求利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Linux 中的wget 下载shell脚本并调用Linux本地“/bin/bash”执行shell脚本。（shell脚本内容内定义了从远端下载执行watch-smartd挖矿程序控制细节）

3. 利用 WebLogic WLS 组件漏洞（CVE-2017-10271）调用 Windows 中的 powershell 进行样本下载和运行。

4. 利用 WebLogic WLS 组件漏洞（CVE-2017-10271）调用 Linux 中的wget 下载shell脚本并调用Linux本地“/bin/bash”执行shell脚本。

部分相关脚本内容如下：

事件影响面评估

目前潜在受影响主机数量超过2000+台，发动攻击的恶意主机PC超过400+台，整体影响面较大，综合分析威胁等级为高。

通过360威胁情报数据最早可追溯该事件至2016年4月14日，如下图：

C&C自签名证书相关信息：

处置方案

自查建议

1. 从网络数据流量角度审计是否有与http://72.11.140.178通讯的主机。

2. 异常文件及进程排查：

   • 检查Windows主机中是否有“auto-upgrade.exe”文件或进程。
   • 检查Linux主机中是否有“watch-smartd”文件或进程。

3. 主机错误日志排查（基于操作系统无差异攻击特性）：

   • 针对于Linux主机：

   java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory

   • 针对于Windows主机：

   java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory

修复方法

更新WebLogic至最新版本并安装最新安全补丁即可。

参考资料

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3248

https://www.securityfocus.com/bid/101304

https://twitter.com/karlorange/status/941715357450080256

https://ti.qianxin.com/

历史

IOC