你的 WebLogic 正在为黑客挖矿！

近期，大量使用WebLogic服务器的企业受到黑客攻击，该攻击利用的是未打补丁的WebLogic服务器存在的高危漏洞，CVE编号为CVE-2017-10271。到目前为止，网络中已流传出多个版本的利用工具。深信服千里目安全实验室紧急预警，提醒广大WebLogic用户做好安全防护措施。

病毒分析

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

漏洞描述

攻击者可以利用WebLogic wls-wsat组件漏洞，构造恶意数据包，触发反序列化导致远程命令执行。在近期处理的多次安全应急处置事件中发现，此漏洞已被挖矿程序watch-smartd所利用。

漏洞复现

千里实验室在本地搭建WebLogic环境，选取网络上公开的PoC进行漏洞复现，通过此漏洞在/tmp目录下执行创建Sangfor文件，成功执行：

影响版本

目前受影响的版本有：

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.1

Oracle WebLogic Server 12.1.3.0

解决方案

漏洞检测

不清楚网站是否存在漏洞的用户，请登录深信服云眼系统，申请免费检测，注册地址：

https://saas.sangfor.com.cn/src/anti-tamper/login.html?type=eyeCloud

修复建议