【威胁预警】Weblogic wsl-wsat远程代码执行漏洞进行挖矿

BaCde  2557天前

从2017年12月15日开始有许多的部署有weblogic的服务器被植入了挖矿的程序。该程序时利用weblogic wsl-wsat漏洞,将其挖矿病毒程序植入到服务器中,从事挖取门罗币加密货币的任务。其漏洞CVE编号为CVE-2017-3506。2017年4月份oracle公布了补丁。请大家及时更新补丁,避免漏洞带来的损失。

概况

目前根据白帽汇监测到的信息显示,目前有大量的windows和linux系统已经植入该后门。该病毒从2017年12月15日被发现,在2017年12月19日晚开始爆发,矿池的PV数量达到11万,目前病毒仍在持续增长当中。请大家及时最好预防处理,发现被入侵的及时清除病毒。

目前FOFA系统中全球范围内共有10198个Weblogic对外开放服务。中国使用数量最多,共有3336台,美国第二,共有2710台,法国第三,共有277台,伊朗第四,共有250台,沙特阿拉伯第五,共有172台。

1111.jpg

 全球范围内weblogic分布情况(仅为分布情况,非漏洞影响情况)

中国地区中北京市使用用数量最多,共有728台,占中国地区总数量的3分之一;广东省第二,共有276台台,上海市第三,共有346台,浙江省第四,共有288台,江苏省第五,共有170台。

2222.jpg

 中国地区weblogic分布情况(仅为分布情况,非漏洞影响情况)

危害等级

严重

原理危害

在WebLogic服务器/tmp/目录发现运行中的watch-smartd程序,极大消耗服务器CPU和内存资源。同时的可能还有watch-smartd的早期版本Carbon、carbon。该挖矿程序不存在维持进程和复活的功能,但在清除该程序后不定期又会出现。中毒的服务器CPU会飙升至100%从事挖矿任务。其连接的矿池网站为minexmr.com和pool.minexmr.com。

5555.jpg

windows中毒截图

6666.jpg

linux系统中毒截图

影响

根据白帽汇针对该漏洞的抽样检测显示,目前大约有22%对外开放的系统存在漏洞。提醒大家,及时升级补丁,防范该漏洞,避免造成巨大损失。

同时,在病毒爆发期间,发现到的一些可疑IP有: 176.31.117.82 

188.165.214.95

 37.59.43.136 

37.59.45.174 

37.59.54.205 

37.59.55.60 

37.59.56.102 

46.105.103.169 

78.46.89.102

78.46.91.134 

78.46.91.171 

91.121.2.76

漏洞POC

FOFA客户端已经支持该漏洞检测。企业用户可使用该POC对企业使用的weblogic进行检测,发现漏洞请立即更新补丁。

4444.png

CVE编号

CVE-2017-3506

修复建议

1、安装补丁,用户可以通过http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html 连接中的信息安装补丁。
2、用户在不适用wsl-wsat的情况下,可考虑删除该组件。其文件名为wls-wsat.war。删除完成后请重启weblogic
并访问http://weblogicweb/wls-wsat 进行测试

白帽汇会持续对该漏洞进行跟进。后续可以关注该链接。

参考

[1] http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

 [2] 部分信息来源于内部社群。

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论