<label id="jgr5k"></label>

<legend id="jgr5k"><track id="jgr5k"></track></legend>

^{<sub id="jgr5k"></sub>}

<u id="jgr5k"></u>

久草国产视频,91资源总站,在线免费看AV,丁香婷婷社区,久久精品99久久久久久久久,色天使av,无码探花,香蕉av在线

^{<blockquote id="xniuv"></blockquote>}

<sup id="xniuv"><rt id="xniuv"><form id="xniuv"></form></rt></sup>

您正在使用IE低版瀏覽器，為了您的雷峰網(wǎng)賬號安全和更好的產(chǎn)品體驗，強烈建議使用更快更安全的瀏覽器

此為臨時鏈接，僅用于文章預覽，將在時失效

政企安全正文

發(fā)私信給郭佳

發(fā)送

0

?黑客利用高危漏洞 WebLogic 對服務器發(fā)起攻擊，大量企業(yè)服務器已被攻陷

本文作者：郭佳

2017-12-22 17:13

導語：此次攻擊中使用的木馬為典型的比特幣挖礦木馬，但該漏洞可被黑客用于其它目的攻擊。

雷鋒網(wǎng)編者按：12月22日，雷鋒網(wǎng)從微步在線了解到，有黑客正在利用 WebLogic 反序列化漏洞（CVE-2017-3248）和 WebLogic WLS 組件漏洞（CVE-2017-10271）對企業(yè)服務器發(fā)起大范圍遠程攻擊，有大量企業(yè)的服務器已被攻陷，且被攻擊企業(yè)數(shù)量呈現(xiàn)明顯上升趨勢，需要引起高度重視。

其中，CVE-2017-12071是一個最新的利用 Oracle WebLogic 中 WLS 組件的遠程代碼執(zhí)行漏洞，屬于沒有公開細節(jié)的野外利用漏洞，雖然官方在 2017 年 10 月份發(fā)布了該漏洞的補丁，但大量企業(yè)尚未及時安裝補丁。

以下為微步在線的投稿。

編號:TB-2017-0010

報告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、遠程執(zhí)行、反序列化、挖礦

TLP: 白 (報告轉(zhuǎn)發(fā)及使用不受限制)

日期: 2017-12-21

漏洞利用方法

該漏洞的利用方法較為簡單，攻擊者只需要發(fā)送精心構(gòu)造的 HTTP 請求，就可以拿到目標服務器的權限，危害巨大。由于漏洞較新，目前仍然存在很多主機尚未更新相關補丁。預計在此次突發(fā)事件之后，很可能出現(xiàn)攻擊事件數(shù)量激增，大量新主機被攻陷的情況。

攻擊者能夠同時攻擊Windows及Linux主機，并在目標中長期潛伏。由于Oracle WebLogic 的使用面較為廣泛，攻擊面涉及各個行業(yè)。此次攻擊中使用的木馬為典型的比特幣挖礦木馬，但該漏洞可被黑客用于其它目的攻擊。

漏洞參考鏈接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

事件概要

?黑客利用高危漏洞 WebLogic 對服務器發(fā)起攻擊，大量企業(yè)服務器已被攻陷

詳情

根據(jù)捕獲到的 pcap 包分析，攻擊者選定要攻擊的目標主機后，將首先利用漏洞CVE-2017-3248進行攻擊，無論是否成功，都將再利用CVE-2017-10271進行攻擊。在每一次的攻擊過程中，都是先針對Windows系統(tǒng)，再針對Linux系統(tǒng)。具體攻擊流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Linux 中的 wget 進行樣本下載和運行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調(diào)用 Windows 中的 PowerShell 進行樣本下載和運行。

3、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Linux 中的 wget 進行樣本下載和運行。

4、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調(diào)用 Windows 中的 powershell 進行樣本下載和運行。

5、在此次的攻擊事件中，CVE-2017-3248利用不成功，CVE-2017-10271則利用成功，從而導致了服務器被攻擊者攻陷，進而在系統(tǒng)日志中留下了痕跡。

告警截圖如下：

?黑客利用高危漏洞 WebLogic 對服務器發(fā)起攻擊，大量企業(yè)服務器已被攻陷

據(jù)觀測，該黑客團伙同時在使用 JBoss 和 Struts2 漏洞進行攻擊嘗試和滲透行為。

檢測措施

1. 網(wǎng)絡流量：

使用附錄中的IOC結(jié)合日志和防病毒安全套件等系統(tǒng)進行自查和清理。

詳情：通過防火墻檢查與IP 72.11.140.178的連接。

2. 盡快對失陷機器進行排查和清理，檢查主機日志中是否出現(xiàn)以下字符串：

對于 Linux 主機，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.對于 Windows 主機，檢查日志中是否出現(xiàn)以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出現(xiàn)，則說明系統(tǒng)已被入侵。

行動建議

·及時更新補丁。

·加強生產(chǎn)網(wǎng)絡的威脅監(jiān)控，及時發(fā)現(xiàn)潛在威脅。

附錄

IOC：72.11.140.178

為避免相關 POC 腳本被惡意利用，引起更大范圍的破壞，如需具體 POC 腳本，可聯(lián)系： contactus@threatbook.cn

以上內(nèi)容來自微步在線投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。

2人收藏

分享：

相關文章

郭佳

編輯

發(fā)私信

當月熱門文章

最新文章

熱門搜索

FAIR 移動應用中興海康威視 GAIR iPad mini 拼多多 RIM Xbox One Fintech 共享單車

為了您的賬戶安全，請驗證郵箱

您的郵箱還未驗證,完成可獲20積分喲！

重發(fā)郵箱修改郵箱

請驗證您的郵箱

立即驗證

完善賬號信息

您的賬號已經(jīng)綁定，現(xiàn)在您可以設置密碼以方便用郵箱登錄

立即設置 以后再說

主站蜘蛛池模板：国模少妇无码一区二区三区| 3p在线视频| 日韩第一页浮力| 无码视屏| 狼群影院www| 无码内射中文字幕岛国片 | 国内精品美女a∨在线播放| 少妇综合网| 国产精品兄妹在线观看麻豆| 天天夜碰日日摸日日澡性色av| 成人午夜视频一区二区无码| 麻豆A∨在线| 公喝错春药让我高潮| 久肏| 亚洲人妻av伦理| 色婷婷五月综合亚洲小说| 99久久人妻无码精品系列蜜桃 | a天堂视频在线| 成人无码av片在线观看| 综合欧美视频一区二区三区| 久久久精品一区| 松下纱荣子被c到高潮下不了床| 美女成人网站| 九寨沟县| 日本中文字幕乱码免费| 亚洲爆乳精品无码一区二区| 天天躁日日躁狠狠| 欧美熟妇另类久久久久久多毛 | 国产午夜成人av在线播放| 国内精品久久久久影院日本| 久久月本道色综合久久| 久久人妻精品白浆国产| 18av千部影片| 五月综合色| 国产在线视频无码| 日本无遮挡真人祼交视频| 伊吾县| 欧美成人秋霞久久aa片| 人妻无码熟妇乱又伦精品视频| 一区二区三区四区视频| 一区二区三区av天堂|