海天起点发布SQL安全审核平台软件--HTAS
海天起点发布“悟空”数据库自动化管理软件V2.0
“悟空”协助陕西电力公司提升数据库自动化管理
【高危预警】WebLogic又该打补丁了
【预警!】高龄存储引发的性能问题,某电力核心业务性能10倍衰减

北京总部
公司地址:北京市朝阳区东大桥路8号尚都国际中心2806室
联系电话:010-58701010
服务热线:800-810-3650 400-810-3650
电子邮件:support@hthorizon.com

Copyright ©2003-2011 北京海天起点技术服务股份有限公司 版权所有 备案号:京ICP备11003326号 网站建设:中企动力 北二分

>
>
关于近期爆红的WebLogic WSAT组件漏洞

关于近期爆红的WebLogic WSAT组件漏洞

浏览量

漏洞说明

这个漏洞的突然蹿红与近一年来比特币的价格飞涨有关,因为它很容易被利用,而服务器的硬件配置,包括CPU、网络环境、存储等,一般来说相对较好,正适合拿来做挖矿的肉鸡。顺便说句题外话,真正要挖矿是要专用矿机的,根据币圈同学的专业知识,普通CPU算力完全不够,这也正是感染之后系统挂掉的原因。

被感染的weblogic主机表现非常明显,CPU资源使用率超高,频繁宕机;在Unix环境下用top命令可以看到watch-smartd、minerd等进程,在Windows环境一般能见到yam.exe。

修复建议

实际上,这并不是一个特别新的漏洞,在17年10月的时候Oracle已经为这个漏洞(CVE-2017-10271)发布了正式补丁,我们的大部分客户也已经陆陆续续做了相关修复。

基于Oracle的产品支持策略,补丁是针对受影响的可支持版本提供的,有补丁的weblogic版本包括:

 

 

但实际上受影响的版本并不限于以上几个,理论上只要包含了wls wsat组件的版本都有漏洞风险。只不过它们超出了服务范围,因此没有补丁可以下载。 

对于有补丁的版本,更新171017的CPU是最稳妥的方案;而对于没有补丁的版本,通过删除wsat相关组件进行规避同样是可行的。打补丁属于最常规的基础操作,这里不再重复。

关于wsat包的删除

首先我们看一下关于wsat的说明:

WebLogic Web services enable interoperability with other external transaction processingsystems, such as Websphere, JBoss, Microsoft .NET, and so on, through thesupport of the following specifications:

Web Services Atomic Transaction(WS-AtomicTransaction) Versions 1.0, 1.1, and 1.2

 

 

也就是说,从10.3.3开始,weblogic引入了wsat包来支持Web Services Atomic Transaction,而挖矿程序正是利用了这个组件的远程命令执行漏洞。由于客户的绝大部分业务环境中是没有使用涉及外部事务处理的web service的,因此可以根据WebLogic实际环境删除相关war包;对于怀疑已经被植入挖矿程序的系统,还需要清理缓存($DOMAIN_HOME/servers/XXXXX/目录下的cache、tmp、stage等目录)。

为保证包都被找到,建议通过find进行查找,然后rm删除。

Weblogic 11g示例:

Weblogic 12c示例:

 

所有操作应当在weblogic server停止的情况下完成,清理完毕后重新启动weblogic。重启WebLogic后,可以尝试访问http://x.x.x.x:yyyy/wls-wsat,如果无法访问,则说明删除成功。

当然,万一这个包真的对业务程序有用,那么理论上在应用包里也会包含相关内容,删除weblogic自带的包并不会有什么影响。但这样的话就必须把weblogic升级到可支持版本然后打上补丁了。

相关文档

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2296870.1

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

http://www.oracle.com/technetwork/cn/topics/security/cpuoct2017-3236626-zhs.html

https://support.oracle.com/epmos/faces/DocumentDisplay?id=1313723.1