文/常明星 来源/PAnews
据腾讯御见威胁情报中心,近日有黑客利用疑似Weblogic反序列化漏洞入侵服务器进行挖矿,漏洞攻击成功后会下载安装挖矿木马Real.exe。服务器一旦感染此木马,将会变为黑客的“挖矿机”,严重消耗机器资源,影响日常工作运转。目前,该木马已感染近万台服务器,北上广三省市成为感染该木马的“重灾区”。
其实,因Web应用服务器出现漏洞,致使企业服务器沦为黑客的“采矿机”事件,已经不是第一次了。
就在今年一月,SANS技术研究所和Morphus实验室的专家称,一群黑客闯入了甲骨文WebLogic服务器并安装一个加密货币挖矿机,最后获得了至少611个门罗币(Monero),当时价值超过22.6万美元。
此次给了黑客可乘之机的,是早在被攻击前一个月就披露过的WebLogic漏洞-POC。
安全人士称,这不是一次针对性的攻击,当一个漏洞披露之后,任何具有相当脚本能力的人都能参与发动攻击。因为它的严重性评分为9.8(危险程度极高),这意味着黑客很容易通过互联网在企业服务器上执行恶意代码并接管底层机器。
POC漏洞早在2017年12月份就被360网络安全研究院(Netlab)公布,几乎就在公布当天,便有关于黑客利用它来安装恶意加密货币挖矿机的报道出现。有报道称,安全专家发现POC公布后,约10万IP在不到三天时间疯狂扫描存在漏洞的路由器。
不管是POC漏洞还是此次的反序列化漏洞,Weblogic的漏洞频出都应该让企业警觉到应用程序服务器的潜在风险。WebLogic作为一种管理大型Web应用和数据库应用的服务器,当出现相当程度的漏洞时,攻击者可轻松利用其权限来对企业网络的全面访问。这两次攻击者入侵事件的受害者,也几乎都是企业。