据SANS技术研究所和Morphus实验室的专家介绍，近日有恶意攻击者利用WebLogic漏洞对企业服务器发起大范围远程攻击，攻击成功后植入挖矿后门程序。

一位研究人员表示，有一名攻击者利用这个漏洞获得了至少611个门罗币，总价值达到了22.6万美元。

研究者表示这名攻击者在722个易受攻击的WebLogic和PeopleSoft系统上安装了一个名为xmrig的合法门罗币挖掘软件包，其中许多运行在公共云服务上。这些系统中有140多个在亚马逊网络服务公共云中，少量的服务器在其他托管和云服务上，其中包括约30个在甲骨文自己的公有云服务上。

通过分析发现攻击者利用了Oracle WebLogic中WLS 组件漏洞（CVE-2017-10271）。有大量的服务器被攻陷，且被攻击的数量呈现明显上升趋势。CVE-2017-10271是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞，Oracle官方在 2017年10月份发布了该漏洞的补丁，如果未及时安装补丁，就存在被攻击的风险。该漏洞影响WebLogic 10.3.6.0, 12.1.3.0,12.2.1.0, 12.2.1.1等多个版本。

该漏洞的利用方法较为简单，攻击者只需要发送构造好执行代码的 HTTP XML数据包请求，就可以直接在服务器执行Java代码或操作系统命令，危害非常大。

缓建措施

Oracle已在2017年10月的补丁中更新“CVE-2017-10271”补丁，补丁地址：http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html