Weblogic Coin Mining Üzerine

Bildiğiniz üzere Weblogic uygulama sunucusu dünyada birçok kurumsal firmanın en büyük tercihi. Sanal para birimleri de yeni yatırımcıların tercihi. Sanal para birimlerinde madencilik yaparak örneğin bitcoin üreten kişiler zamanla bunu daha çok bilgisayarda ve daha çok kaynak ile üretim yapmak isteyince ortaya bir arayış çıktı ve bunu Weblogic üzerinde denediler.

Weblogic doğası gereği kriptokrasi madenciliği üzerine herhangi bir savunması bulunmuyor, hali hazırda böyle bir savunmada olmayınca saldırganlarda erişebildikleri Weblogic sunucularında keyfi komutlar çalıştırarak içeride bir çok işlem yapabiliyorlar.

( CVE 2017-10271 ) kodu ile yayınlanan güvenlik açığı weblogic’in “ wls-wstat “ dediğimiz komut satırında çalıştırılıyor ve saldırgan kişinin madencilik yapması için ilgili uygulamasını kurmasına peşine de çalıştırmasına olanak sağlıyor. Sisteminize “ Monero “ adında bir hizmet çalışıyorsa ve işlemcisiniz tavan yapıyorsa sizde bu işe bulaştınız demektir.

Saldırhan <HOST> / wls-wsat / CoordinatorPortType URL’sine erişerek Web hizmetlerini kontrol eden Dropper komut dosyasını kullanıyor ve ve Weblogic’in kurulu olduğu sunucuya madencilik uygulamasını indirerek Weblogic servisini bitiriyor.

Aşağıda ele geçirilmiş makine için iki adet resmi iletiyorum.

Erişilmeye çalışılan adresler ;

hxxp://165.227.215.25/
hxxp://165.227.215.25/xmrig-y
hxxps://165.227.215.25/xmrig-y
hxxp://165.227.215.25/java_infected
hxxp://165.227.215.25/xmrig-y%20$mName
hxxp://165.227.215.25/5555
hxxp://165.227.215.25/xmrig-aeon.exe
hxxp://165.227.215.25/xmrig-y.exe
hxxp://165.227.215.25/xmrig-y%20$
hxxp://165.227.215.25/xmrig

Peki şu aşamada neler yapabiliriz.

Öncelikle uygulama sunucumuzu güncel tutmak ve aşağıdaki denetimleri gözden geçirmek gerekiyor. ( Support hesabınızla gerekli yamaları yükleyebilirsiniz. )

Varsayılan yönetim port numaraların değiştirin. Weblogic standart kurulumda 7001 ve 7002 kullanr.

WebLogic Domain için varsayılan yönetici kullanıcısı olarak “weblogic” kullanıcısını tercih etmeyin. Farklı bir kullanıcı kullanın ve bunu kapatın.

Servis açılışlarında sorulan kullanıcı adı ve şifre işlemini “ boot.properties “ dosyası ile yapın.

WebLogic için “Administration Port” özelliği aktif edin.

Her zaman  “Custom Hostname Verifier” kullanın.

“Max Post Size”  için değer belirleyin. Bu ayar varsayılan ayar limitsiz şeklindedir.

Ve son olarak WebLogic domain için “Administration auditing” açın periyodik olarak günlükleri kontrol edin.

 

İnceleme : https://www.cvedetails.com/cve/CVE-2017-10271/

Facebook Yorum

bparlayan has written 112 articles

Blog sitemi boş zamanlarımda hem biraz karalamak hemde mesleki tecrübeleri paylaşmak için kullanmaktayım. Burası benim deşarj noktam. Bu paylaşımları istediğiniz gibi çoğaltabilir ve kullanabilirsiniz : ). Ufak bir teşekkür yeterli. bugra[@]bugraparlayan.com.tr adresinden iletişim kurabilirsiniz.