來源： 時間：2017-12-23 00:00:00 作者：　 瀏覽：1929 次

近期安恒信息在應急響應過程中發現有惡意攻擊者利用WebLogic漏洞對企業服務器發起大範圍遠程攻擊，攻擊成功後植入挖礦後門程序，通過分析發現攻擊者利用了Oracle WebLogic中WLS 組件漏洞（CVE-2017-10271）。有大量企業的服務器被攻陷，且被攻擊企業數量呈現明顯上升趨勢，需要引起高度重視。CVE-2017-10271是一個最新的利用Oracle WebLogic中WLS 組件的遠程代碼執行漏洞，Oracle官方在 2017 年 10 月份發布了該漏洞的補丁，但沒有公開漏洞細節，如果企業未及時安裝補丁，存在被攻擊的風險。該漏洞影響WebLogic 10.3.6.0, 12.1.3.0,12.2.1.0, 12.2.1.1等多個版本。該漏洞的利用方法較為簡單，攻擊者只需要發送構造好執行代碼的 HTTP XML數據包請求，就可以直接在服務器執行Java代碼或操作系統命令，危害巨大。

通過分析發現漏洞引發原因是Oracle官方的JDK組件中“XMLDecoder”類在反序列化操作時引發了代碼執行，Weblogic “wls-wsat”組件在反序列化操作時使用了“XMLDecoder”類進行XML反序列操作引發了代碼執行，在關註本次漏洞的同時，近期可能會有其他使用了“XMLDecoder”類進行反序列化操作的程序爆發類似漏洞，還需及時關註，同時在安全開發方面應避免使用“XMLDecoder”類進行XML反序列化操作。

由於本次漏洞較新，目前仍然存在很多主機尚未更新相關補丁，同時github上已有相關攻擊利用工具和方法傳播，預計近期出現類似的攻擊事件數量將會增多，需要盡快更新補丁，及時關註相關安全動態。

加固建議：

Oracle已在2017年10月的補丁中更新“CVE-2017-10271”補丁，補丁地址：http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

目前安恒玄武盾已有相關防護策略，可將相關系統接入安恒玄武盾進行防禦；安恒明鑒系列掃描器、檢測平臺、檢查工具箱已經更新了檢查策略，可以使用對應產品進行漏洞檢查。

安恒信息為大家提供此漏洞專項檢測工具：

請將該網址（百度網盤地址）復制到瀏覽器中執行即可下載：https://pan.baidu.com/s/1bpg3ppl

WebLogic中WLS 組件漏洞（CVE-2017-10271）專項檢測工具