Weblogicwls-wsatXML反序列化代码执行漏洞预警.DOC

PAGE5 / NUMPAGES5 Weblogic wls-wsat XML反序列化代码执行漏洞预警 杭州安恒信息技术有限公司 2017年12月22日  目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc501722232 1. 摘要 PAGEREF _Toc501722232 \h 3 HYPERLINK \l _Toc501722233 2. 详细分析 PAGEREF _Toc501722233 \h 3 HYPERLINK \l _Toc501722234 3. 总结 PAGEREF _Toc501722234 \h 5  摘要 近期安恒信息在应急响应发现攻击者利用WebLogic漏洞对企业服务器发起大范围远程攻击，攻击成功后植入挖矿后门程序，通过分析发现攻击者利用了Oracle WebLogic中WLS 组件漏洞（CVE-2017-10271）。近期有大量企业的服务器被攻陷，且被攻击企业数量呈现明显上升趋势，需要引起高度重视。 CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，Oracle官方在 2017 年 10 月份发布了该漏洞的补丁，但没有公开漏洞细节，如果企业未及时安装补丁，存在被攻击的风险。该漏洞影响WebLogic , ,, 等多个版本。 详细分析 该漏洞的利用方法较为简单，攻击者只需要发送构造好执行代码的 HTTP XML数据包请求，就可以直接在服务器执行Java代码或操作系统命令，危害巨大。 图一 监测到的利用“CVE-2017-10271”进行攻击的数据包 通过分析发现漏洞引发原因是Oracle官方的JDK组件中“XMLDecoder”类在反序列化操作时引发了代码执行，Weblogic “wls-wsat”组件在反序列化操作时使用了XMLDecoder进行XML反序列操作引发了代码执行，在关注本次漏洞的同时，近期可能会有其他使用了XMLDecoder进行反序列操作的程序爆发类似漏洞，需要加强关注，同时在安全开发方面应避免XMLDecoder进行XML反序列化操作。 图二 利用XMLDecoder执行操作系统命令 总结 由于本次漏洞较新，目前仍然存在很多主机尚未更新相关补丁，同时***上已有相关攻击利用工具和方法传播，预计近期出现类似的攻击事件数量将会增多，需要尽快更新补丁，定期关注相关安全动态。 加固建议： Oracle已在2017年10月的补丁中更新“CVE-2017-10271”补丁，补丁地址：/technetwork/security-advisory/cpuoct2017-3236626.html 目前安恒玄武盾已有相关防护策略，可将相关系统接入安恒玄武盾进行防御；安恒明鉴系列扫描器、检测平台、检查工具箱已经更新了检查策略，可以使用对应产品进行漏洞检查。