甲骨文WebLogic伺服器被植入後門，僅用於挖礦？

據SANS技術研究所和Morphus實驗室的專家介紹，近日有惡意攻擊者利用WebLogic漏洞對企業伺服器發起大範圍遠程攻擊，攻擊成功後植入挖礦後門程序。

一位研究人員表示，有一名攻擊者利用這個漏洞獲得了至少611個門羅幣，總價值達到了22.6萬美元。

研究者表示這名攻擊者在722個易受攻擊的WebLogic和PeopleSoft系統上安裝了一個名為xmrig的合法門羅幣挖掘軟體包，其中許多運行在公共雲服務上。這些系統中有140多個在亞馬遜網路服務公共雲中，少量的伺服器在其他託管和雲服務上，其中包括約30個在甲骨文自己的公有雲服務上。

通過分析發現攻擊者利用了Oracle WebLogic中WLS 組件漏洞（CVE-2017-10271）。有大量的伺服器被攻陷，且被攻擊的數量呈現明顯上升趨勢。CVE-2017-10271是一個最新的利用Oracle WebLogic中WLS 組件的遠程代碼執行漏洞，Oracle官方在 2017年10月份發布了該漏洞的補丁，如果未及時安裝補丁，就存在被攻擊的風險。該漏洞影響WebLogic 10.3.6.0, 12.1.3.0,12.2.1.0, 12.2.1.1等多個版本。

該漏洞的利用方法較為簡單，攻擊者只需要發送構造好執行代碼的 HTTP XML數據包請求，就可以直接在伺服器執行Java代碼或操作系統命令，危害非常大。

緩建措施

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！