病毒预报  第八百六十四期

国家计算机病毒应急处理中心通过对互联网的监测，发现 “z0Miner”挖矿木马的运作者利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）入侵约5000台服务器并植入门罗币挖矿木马。 Weblogic是美国Oracle公司的主要产品之一，是商业市场上主要的J2EE应用服务器软件，也是世界上第一个成功商业化的J2EE应用服务器，在Java应用服务器中有非常广泛的部署和应用。此次受影响的版本为：10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。攻击者通过批量扫描云服务器发现具有漏洞的Weblogic服务器，未经授权的攻击者通过210.108.70.119（位于韩国）向目标服务器发送有针对性的HTTP GET请求绕过WebLogic后台登录等限制，然后执行远程命令下载shell脚本z0.txt并通过bash命令运行，z0.txt首先通过匹配进程和文件名的方式关闭其他挖矿木马程序，再利用该shell脚本植入门罗币挖矿木马“z0Miner”并通过安装crontab定时任务实现挖矿木马在被入侵设备中长期驻留，最后通过SSH远程登陆已经认证过的设备在受害者的网络中横向移动，感染更多设备。“z0Miner” 采用开源挖矿程序XMRig编译，由于其上线时间较短，目前获得收益0.1个门罗币，但根据其算力133 KH/s推算其已控制约5000台服务器进行挖矿活动。 分析人员称，Weblogic未授权命令执行漏洞于2020年10月21日被官方公布，但该漏洞早期版本的补丁存在被绕过的风险，可能对云主机造成较大威胁。目前CVE-2020-14882漏洞的补丁已更新，解决了被绕过的风险。建议我国Weblogic云服务器用户采取以下措施予以防范，一是检测设备是否存在安全漏洞，及时安装最新版本的安全更新；二是除非必要情况，禁止使用远程连接访问服务器；三是对异常网络流量进行审计排查。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心