Oracle Weblogic Server

Weblogic Coin Mining Üzerine

18 Ocak 2018
62 1 dakika okuma süresi

Bildiğiniz üzere Weblogic uygulama sunucusu dünyada birçok kurumsal firmanın en büyük tercihi. Sanal para birimleri de yeni yatırımcıların tercihi. Sanal para birimlerinde madencilik yaparak örneğin bitcoin üreten kişiler zamanla bunu daha çok bilgisayarda ve daha çok kaynak ile üretim yapmak isteyince ortaya bir arayış çıktı ve bunu Weblogic üzerinde denediler.

Weblogic doğası gereği kriptokrasi madenciliği üzerine herhangi bir savunması bulunmuyor, hali hazırda böyle bir savunmada olmayınca saldırganlarda erişebildikleri Weblogic sunucularında keyfi komutlar çalıştırarak içeride bir çok işlem yapabiliyorlar.

( CVE 2017-10271 ) kodu ile yayınlanan güvenlik açığı weblogic’in “ wls-wstat “ dediğimiz komut satırında çalıştırılıyor ve saldırgan kişinin madencilik yapması için ilgili uygulamasını kurmasına peşine de çalıştırmasına olanak sağlıyor. Sisteminize “ Monero “ adında bir hizmet çalışıyorsa ve işlemcisiniz tavan yapıyorsa sizde bu işe bulaştınız demektir.

Saldırhan <HOST> / wls-wsat / CoordinatorPortType URL’sine erişerek Web hizmetlerini kontrol eden Dropper komut dosyasını kullanıyor ve ve Weblogic’in kurulu olduğu sunucuya madencilik uygulamasını indirerek Weblogic servisini bitiriyor.

Aşağıda ele geçirilmiş makine için iki adet resmi iletiyorum.

Erişilmeye çalışılan adresler ;

hxxp://165.227.215.25/
hxxp://165.227.215.25/xmrig-y
hxxps://165.227.215.25/xmrig-y
hxxp://165.227.215.25/java_infected
hxxp://165.227.215.25/xmrig-y%20$mName
hxxp://165.227.215.25/5555
hxxp://165.227.215.25/xmrig-aeon.exe
hxxp://165.227.215.25/xmrig-y.exe
hxxp://165.227.215.25/xmrig-y%20$
hxxp://165.227.215.25/xmrig

Peki şu aşamada neler yapabiliriz.

Öncelikle uygulama sunucumuzu güncel tutmak ve aşağıdaki denetimleri gözden geçirmek gerekiyor. ( Support hesabınızla gerekli yamaları yükleyebilirsiniz. )

Varsayılan yönetim port numaraların değiştirin. Weblogic standart kurulumda 7001 ve 7002 kullanr.

WebLogic Domain için varsayılan yönetici kullanıcısı olarak “weblogic” kullanıcısını tercih etmeyin. Farklı bir kullanıcı kullanın ve bunu kapatın.

Servis açılışlarında sorulan kullanıcı adı ve şifre işlemini “ boot.properties “ dosyası ile yapın.

WebLogic için “Administration Port” özelliği aktif edin.

Her zaman  “Custom Hostname Verifier” kullanın.

“Max Post Size”  için değer belirleyin. Bu ayar varsayılan ayar limitsiz şeklindedir.

Ve son olarak WebLogic domain için “Administration auditing” açın periyodik olarak günlükleri kontrol edin.

 

İnceleme : https://www.cvedetails.com/cve/CVE-2017-10271/

Photo of bparlayan

bparlayan

Blog sitemi boş zamanlarımda hem biraz karalamak hemde mesleki tecrübeleri paylaşmak için kullanmaktayım. Burası benim deşarj noktam. Bu paylaşımları istediğiniz gibi çoğaltabilir ve kullanabilirsiniz : ). Ufak bir teşekkür yeterli. bugra[@]bugraparlayan.com.tr adresinden iletişim kurabilirsiniz.

İlgili Makaleler

Photo of Oracle Weblogic Server 12.2.1.3 Kurulumu – Bölüm 1

Oracle Weblogic Server 12.2.1.3 Kurulumu – Bölüm 1

24 Mart 2020
Photo of BEA-090892 – The loading of OPSS java security policy provider failed due to exception

BEA-090892 – The loading of OPSS java security policy provider failed due to exception

10 Kasım 2017
Photo of Oracle Service Bus Extra Memory Heap Space

Oracle Service Bus Extra Memory Heap Space

29 Haziran 2016
Photo of REP-52266: The in-process Reports Server failed to start

REP-52266: The in-process Reports Server failed to start

8 Ağustos 2017
Başa dön tuşu
Kapalı