Oracle WebLogicの重要な欠陥を利用したマイニング

ニュースソース:ISC Forum
以下は、2018年01月10日にRenato氏が発表したCampaign is using a recently released WebLogic exploit to deploy a Monero minerを要約したものです。


脆弱性(CVE 2017-10271)は、WebLogic Web Servicesコンポーネント(wls-wsat)に存在し、ユーザー入力検証の脆弱性により、認証されていないリモートの攻撃者がWebLogicのサーバーユーザー権限で任意のコマンドを実行できる可能性があります。

このエクスプロイトは実行が非常に簡単で、潜在的な犠牲者を簡単にスキャンするためのbashスクリプトが付属しています。

キャンペーンの目的は仮想通貨を掘り起こすことですが、脆弱性と悪用は他の目的にも使用できます。
この脆弱性については環境を確認し、必要に応じてできるだけ早くパッチを適用してください。

WebLogicの脆弱な環境が既に侵害されている可能性があるかどうかを確認することもお勧めします。
高いCPU消費量と一定したCPU消費量で注意深くプロセスを分析します。

私たちは、IPアドレス165.227.215.25が攻撃の源でもあり、cryptocurrenciesのマイナーバイナリのリポジトリでもあることに気付きました。