Huaihai
作者Huaihai2018-01-04 13:43
系统架构师, 银行

关于近期爆红的WebLogic WSAT组件漏洞

字数 1711阅读 2448评论 0赞 4

作者:汤小宁


漏洞说明

这个漏洞的突然蹿红与近一年来比特币的价格飞涨有关,因为这个漏洞很容易被利用,而服务器的硬件配置,包括CPU、网络环境、存储等,一般来说相对较好,正适合拿来做挖矿的肉鸡。

被感染的weblogic主机表现非常明显,CPU资源使用率超高,频繁宕机;在Unix环境下用top命令可以看到watch-smartd、minerd等进程,在Windows环境一般能见到yam.exe。

修复建议

实际上,这并不是一个特别新的漏洞,在17年10月的时候Oracle已经为这个漏洞(CVE-2017-10271)发布了正式补丁,我们的大部分客户也已经陆陆续续做了相关修复。

基于Oracle的产品支持策略,补丁是针对受影响的可支持版本提供的,有补丁的weblogic版本包括:

微信图片_20180104134055.jpg

微信图片_20180104134055.jpg

但实际上受影响的版本并不限于以上几个,理论上只要包含了wls wsat组件的版本都有漏洞风险。只不过它们超出了服务范围,因此没有补丁可以下载。

对于有补丁的版本,更新170717的CPU是最稳妥的方案;而对于没有补丁的版本,通过删除wsat相关组件进行规避同样是可行的。打补丁属于最常规的基础操作,这里不再重复。

关于wsat包的删除

首先我们看一下关于wsat的说明:

WebLogicWeb services enable interoperability with other external transaction processingsystems, such as Websphere, JBoss, Microsoft .NET, and so on, through thesupport of the following specifications:

Web Services Atomic Transaction(WS-AtomicTransaction) Versions 1.0, 1.1, and 1.2
微信图片_20180104134139.jpg

微信图片_20180104134139.jpg

也就是说,从10.3.3开始,weblogic引入了wsat包来支持Web Services Atomic Transaction,而挖矿程序正是利用了这个组件的远程命令执行漏洞。由于客户的绝大部分业务环境中是没有使用涉及外部事务处理的web service的,因此可以根据WebLogic实际环境删除相关war包;对于怀疑已经被植入挖矿程序的系统,还需要清理缓存($DOMAIN_HOME/servers/XXXXX/目录下的cache、tmp、stage等目录)。

为保证包都被找到,建议通过find进行查找,然后rm删除。

Weblogic 11g示例:
微信图片_20180104134207.jpg

微信图片_20180104134207.jpg

WebLogic 12c示例:
微信图片_20180104134228.jpg
微信图片_20180104134228.jpg

所有操作应当在weblogic server停止的情况下完成,清理完毕后重新启动weblogic。重启WebLogic后,可以尝试访问http://x.x.x.x:yyyy/wls-wsat,如果无法访问,则说明删除成功。

当然,万一这个包真的对业务程序有用,那么理论上在应用包里也会包含相关内容,删除weblogic自带的包并不会有什么影响。但这样的话就必须把weblogic升级到可支持版本然后打上补丁了。

相关文档

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2296870.1
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.oracle.com/technetwork/cn/topics/security/cpuoct2017-3236626-zhs.html
https://support.oracle.com/epmos/faces/DocumentDisplay?id=1313723.1

转自微信公众号:海天起点

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

4

添加新评论0 条评论

Ctrl+Enter 发表

关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
© 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30