【安全預警】WebLogic遠程命令執行漏洞（CVE-2017-10271）

·        

 漏洞描述： CVE-2017-12071是Oracle WebLogic中WLS 組件的最新的遠程代碼執行漏洞，官方在 2017 年 10 月份發布了該漏洞的補丁，由于沒有公開細節，大量企業尚未及時安裝補丁，導致被控制用戶量逐漸增加。 該漏洞的利用方法較為簡單，攻擊者只需要發送精心構造的 HTTP 請求，就可以拿到目標服務器的權限，危害巨大，被進一步利用下載和運行挖礦程序watch-smartd，消耗服務器大量內存和CPU資源。由于漏洞較新，目前仍然存在很多主機尚未更新相關補丁。 ·        

影響版本  Oracle Weblogic Server 10.3.6 0.0    Oracle Weblogic Server 12.2.1.1.0

  Oracle Weblogic Server 12.2.1.2.0

  Oracle Weblogic Server 12.1.3.0.0 ·        

修復建議： 1、由于Oracle WebLogic的使用面較為廣泛，攻擊面涉及各個行業，攻擊者可利用該漏洞同時攻擊Windows及Linux主機，并在目標中長期潛伏，如果您的WebLogic服務暫未受影響，建議您及時安裝Oracle官方最新補丁，避免被攻擊者利用； 2、如果您已經受影響，您可以采取如下臨時處理措施降低損失： 1）由于該挖礦程序利用WebLogic wls-wsat組件遠程命令執行漏洞進行感染，建議您根據實際環境路徑，刪除WebLogic程序下的war包及相關目錄： rm -f /安裝目錄/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /安裝目錄/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /安裝目錄/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat 2）重啟WebLogic或系統后，判斷是否可訪問鏈接：http://x.x.x.x:7001/wls-wsat，若無法訪問，則說明刪除成功。