E安全1月12日讯 Morphus Labs安全研究人员雷纳托·马里尼奥2018年1月7日发布报告揭露一系列针对PeopleSoft和WebLogic服务器的挖矿活动，多名攻击者利用Oracle修复的WebLogic WLS组件漏洞（CVE-2017-10271）执行批量数字货币挖矿活动。

 SANS科技研究所研究主任约翰尼斯·乌尔里希发布分析报告指出，一名黑客赚取了至少611个门罗币，按当前价格来算总价约为22.6万美元（约合人民币148万元）。

Oracle漏洞修复不彻底引出更多问题

乌尔里希称，攻击者似乎使用了中国安全研究人员在2017年12月底发布漏洞（CVE 2017-3506）利用PoC。2017年4月Oracle发布针对CVE 2017-3506的补丁后，由于修复不够完善出现了CVE-2017-10271漏洞。乌尔里希指出，这名中国研究人员在博文中讨论的漏洞CVE 2017-3506，其漏洞利用同样适用于这个后来出现的漏洞CVE-2017-10271。

乌尔里希表示，PoC发布不久，就有报道称攻击者利用该PoC安装加密货币挖矿程序，从由Digital Ocean、GoDaddy、Verizon Business Services和Athenix托管的服务器发起攻击。

影响范围

乌尔里希表示这一系列攻击不具有针对性，全球范围普遍受影响。一旦有人发布漏洞利用，普通的黑客也能使WebLogic/PeopleSoft服务器宕机。

乌尔里希表示，攻击者在722个易受攻击的WebLogic和PeopleSoft系统上安装了合法的门罗币挖矿软件包。其中许多系统在公共云服务上运行，超过140个系统在亚马逊AWS公共云中运行，少量服务器在其它托管及云服务上，有约30个服务器位于Oracle的公共云服务中。

漏洞（CVE 2017-3506）利用代码使扫描脆弱系统变得简单，因此整个公开暴露、未打补丁的Oracle Web应用服务器可能会快速沦为这些攻击的受害者。但由于挖矿工具的脚本会在目标服务器上杀死 “java”进程，这些挖矿活动很快就被研究人员发现。

攻击者在上述门罗币攻击中使用的安装程序是一个简单的bash脚本，发出命令寻找并杀死之前可能存在的其它区块链挖矿程序，并创建cron定时任务来下载并启动挖矿工具。

此次漏洞修复应该注意什么？

乌尔里希提醒受害者，不应简单为服务器打补丁和删除挖矿程序来修复服务器，因为老练的攻击者可能会利用更高级的攻击方式隐藏任务。这起案例使用的持久机制是cron定时任务，但不排除有其它更难以检测的持久机制，以达到长期控制目标设备的目的。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1609874222.shtml

▼点击“阅读原文” 查看更多精彩内容