国家计算机病毒应急处理中心通过对互联网的监测,发现 “z0Miner”挖矿木马的运作者利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)入侵约5000台服务器并植入门罗币挖矿木马。 Weblogic是美国Oracle公司的主要产品之一,是商业市场上主要的J2EE应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在Java应用服务器中有非常广泛的部署和应用。此次受影响的版本为:10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。攻击者通过批量扫描云服务器发现具有漏洞的Weblogic服务器,未经授权的攻击者通过210.108.70.119(位于韩国)向目标服务器发送有针对性的HTTP GET请求绕过WebLogic后台登录等限制,然后执行远程命令下载shell脚本z0.txt并通过bash命令运行,z0.txt首先通过匹配进程和文件名的方式关闭其他挖矿木马程序,再利用该shell脚本植入门罗币挖矿木马“z0Miner”并通过安装crontab定时任务实现挖矿木马在被入侵设备中长期驻留,最后通过SSH远程登陆已经认证过的设备在受害者的网络中横向移动,感染更多设备。“z0Miner” 采用开源挖矿程序XMRig编译,由于其上线时间较短,目前获得收益0.1个门罗币,但根据其算力133 KH/s推算其已控制约5000台服务器进行挖矿活动。 分析人员称,Weblogic未授权命令执行漏洞于2020年10月21日被官方公布,但该漏洞早期版本的补丁存在被绕过的风险,可能对云主机造成较大威胁。目前CVE-2020-14882漏洞的补丁已更新,解决了被绕过的风险。建议我国Weblogic云服务器用户采取以下措施予以防范,一是检测设备是否存在安全漏洞,及时安装最新版本的安全更新;二是除非必要情况,禁止使用远程连接访问服务器;三是对异常网络流量进行审计排查。