【威胁预警】Weblogic wsl-wsat远程代码执行漏洞进行挖矿

从2017年12月15日开始有许多的部署有weblogic的服务器被植入了挖矿的程序。该程序时利用weblogic wsl-wsat漏洞，将其挖矿病毒程序植入到服务器中，从事挖取门罗币加密货币的任务。其漏洞CVE编号为CVE-2017-3506。2017年4月份oracle公布了补丁。请大家及时更新补丁，避免漏洞带来的损失。

概况

目前根据白帽汇监测到的信息显示，目前有大量的windows和linux系统已经植入该后门。该病毒从2017年12月15日被发现，在2017年12月19日晚开始爆发，矿池的PV数量达到11万，目前病毒仍在持续增长当中。请大家及时最好预防处理，发现被入侵的及时清除病毒。

目前FOFA系统中全球范围内共有10198个Weblogic对外开放服务。中国使用数量最多，共有3336台，美国第二，共有2710台，法国第三，共有277台，伊朗第四，共有250台，沙特阿拉伯第五，共有172台。

 全球范围内weblogic分布情况（仅为分布情况，非漏洞影响情况）

中国地区中北京市使用用数量最多，共有728台，占中国地区总数量的3分之一；广东省第二，共有276台台，上海市第三，共有346台，浙江省第四，共有288台，江苏省第五，共有170台。

 中国地区weblogic分布情况（仅为分布情况，非漏洞影响情况）

危害等级

严重

原理危害

在WebLogic服务器/tmp/目录发现运行中的watch-smartd程序，极大消耗服务器CPU和内存资源。同时的可能还有watch-smartd的早期版本Carbon、carbon。该挖矿程序不存在维持进程和复活的功能，但在清除该程序后不定期又会出现。中毒的服务器CPU会飙升至100%从事挖矿任务。其连接的矿池网站为minexmr.com和pool.minexmr.com。

windows中毒截图

linux系统中毒截图

影响

根据白帽汇针对该漏洞的抽样检测显示，目前大约有22%对外开放的系统存在漏洞。提醒大家，及时升级补丁，防范该漏洞，避免造成巨大损失。

同时，在病毒爆发期间，发现到的一些可疑IP有： 176.31.117.82 

188.165.214.95

 37.59.43.136 

37.59.45.174 

37.59.54.205 

37.59.55.60 

37.59.56.102 

46.105.103.169 

78.46.89.102

78.46.91.134 

78.46.91.171 

91.121.2.76

漏洞POC

FOFA客户端已经支持该漏洞检测。企业用户可使用该POC对企业使用的weblogic进行检测，发现漏洞请立即更新补丁。

CVE编号

CVE-2017-3506

修复建议

1、安装补丁，用户可以通过http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html 连接中的信息安装补丁。
2、用户在不适用wsl-wsat的情况下，可考虑删除该组件。其文件名为wls-wsat.war。删除完成后请重启weblogic
并访问http://weblogicweb/wls-wsat 进行测试

白帽汇会持续对该漏洞进行跟进。后续可以关注该链接。

参考

[1] http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

 [2] 部分信息来源于内部社群。

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。