您現在所在的位置:26选5怎么看中奖 >> 新聞動態
新聞動態
威脅情報
發布時間:2017.12.25 新聞來源: 瀏覽次數:

Weblogic WLS組件漏洞攻擊利用預警

一.  預警摘要

近期,綠盟科技應急響應團隊陸續接到來自金融、運營商、互聯網等多個行業客戶的安全事件反饋,發現多臺不同版本WebLogic主機均被植入了相同的惡意程序,該程序會消耗大量的主機CPU資源。

經分析,攻擊者針對WebLogic WLS組件中存在的CVE-2017-10271遠程代碼執行漏洞,構造請求對運行的WebLogic中間件主機進行攻擊,由于該漏洞利用方式簡單,且能夠直接獲取目標服務器的控制權限,影響范圍較廣,近期發現此漏洞的利用方式為傳播虛擬幣挖礦程序,不排除會被黑客用于其他目的的攻擊。

Oracle官方網站在10月份的更新補丁中對此漏洞進行了修復,建議企業做好安全防護措施,并及時修復,減少因此漏洞造成的損失。官方修復詳情參考如下鏈接:

//www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html


二. 安全防護

由于攻擊者利用的是WebLogic wls組件進行的攻擊,當WebLogic控制臺對公網開放且未及時升級安全補丁的話,就會存在被利用的風險。

           2.1  官方升級方案

Oracle官方對于WebLogic WLS 組件漏洞(CVE-2017-10271)10月份的更新補丁中已經進行了修復,建議及時下載更新包,并升級WebLogic。升級過程可參考如下鏈接:

//blog.csdn.net/qqlifu/article/details/49423839

2.3  產品防護方案

2.3.1  WAF防護方案

部署有綠盟科技WAF的用戶可通過自定義規則的方式用來及時防護WebLogic WLS組件遠程代碼執行漏洞,自定義規則如下:


配置效果如下圖所示:



2.3.2  NIPS防護方案

部署有綠盟科技NIPS/NIDS的用戶,可通過自定義規則,形成對WebLogic WLS組件遠程代碼執行漏洞利用的檢測和防護。配置信息如下表所示:


 

 

             三.感染主機排查

由于此次攻擊主要目的為下載執行挖礦程序,從主機層面可通過監控主機系統資源或進程分析方式進行檢測,從網絡層面可對C&C地址及礦池相關域名/IP進行監控,以發現其他受感染主機。



(詳細了解情報請訪問://www.nsfocus.com.cn/content/details_141_2667.html)

Copyright © 貴州響亮電子技術有限公司 All Rights Reserved 版權所有
地址:貴州省貴陽市觀山湖區誠信北路麒龍CBD中央商務大廈B2座14樓   黔ICP備13003907號