“BuleHero”蠕虫病毒出现新变种

2019年5月22日,我国安全厂商腾讯公司发布报告,称发现蠕虫病毒“BuleHero”的最新变种。该变种利用WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)针对企业公司网络发起网络攻击,并在内网中进行横向传播,最终在被感染主机与服务器中植入挖矿木马。报告称,蠕虫病毒BuleHero最早于2018年8月被发现,该病毒擅长利用各类漏洞攻击和弱密码爆破攻击,病毒作者至今仍在不断更新攻击模块代码,将多个新公布的高危漏洞加入漏洞攻击模块中,对企业用户造成较大威胁。该病毒可利用Windows系统漏洞、服务器组件漏洞以及爆破攻击等多种方法进行攻击,所使用过的漏洞包括“永恒之蓝”MS17-010、Lnk漏洞(CVE-2017-8464)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)、Thinkphp V5漏洞(CNVD-2018-24942)以及本次攻击中新增加的WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)。所使用的爆破攻击类型为SQL Server 1433端口爆破和IPC$远程连接爆破。该变种此次最新利用的服务器组件漏洞--WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)于今年4月17日公开,其补丁程序已于4月26日由Oracle官方发布。由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以利用该漏洞通过发送恶意HTTP请求获取服务器权限,实现远程代码执行。受该漏洞影响的程序版本为Oracle WebLogic Server 10.*和Oracle WebLogic Server 12.1.3。