近期安恒信息在应急响应过程中发现有恶意攻击者利用WebLogic漏洞对企业服务器发起大范围远程攻击，攻击成功后植入挖矿后门程序，通过分析发现攻击者利用了Oracle WebLogic中WLS 组件漏洞（CVE-2017-10271）。有大量企业的服务器被攻陷，且被攻击企业数量呈现明显上升趋势，需要引起高度重视。CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，Oracle官方在 2017 年 10 月份发布了该漏洞的补丁，但没有公开漏洞细节，如果企业未及时安装补丁，存在被攻击的风险。该漏洞影响WebLogic 10.3.6.0, 12.1.3.0,12.2.1.0, 12.2.1.1等多个版本。该漏洞的利用方法较为简单，攻击者只需要发送构造好执行代码的 HTTP XML数据包请求，就可以直接在服务器执行Java代码或操作系统命令，危害巨大。

通过分析发现漏洞引发原因是Oracle官方的JDK组件中“XMLDecoder”类在反序列化操作时引发了代码执行，Weblogic “wls-wsat”组件在反序列化操作时使用了“XMLDecoder”类进行XML反序列操作引发了代码执行，在关注本次漏洞的同时，近期可能会有其他使用了“XMLDecoder”类进行反序列化操作的程序爆发类似漏洞，还需及时关注，同时在安全开发方面应避免使用“XMLDecoder”类进行XML反序列化操作。

由于本次漏洞较新，目前仍然存在很多主机尚未更新相关补丁，同时github上已有相关攻击利用工具和方法传播，预计近期出现类似的攻击事件数量将会增多，需要尽快更新补丁，及时关注相关安全动态。

加固建议：

Oracle已在2017年10月的补丁中更新“CVE-2017-10271”补丁，补丁地址：http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

目前安恒玄武盾已有相关防护策略，可将相关系统接入安恒玄武盾进行防御；安恒明鉴系列扫描器、检测平台、检查工具箱已经更新了检查策略，可以使用对应产品进行漏洞检查。

安恒信息为大家提供此漏洞专项检测工具：

请将该网址（百度网盘地址）复制到浏览器中执行即可下载：https://pan.baidu.com/s/1bpg3ppl