Americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) přidala bezpečnostní chybu ovlivňující Oracle WebLogic Server do katalogu známých zneužívaných zranitelností (KEV). Tato chyba, sledovaná jako CVE-2017-3506 (CVSS skóre: 7.4), se týká zranitelnosti injekce příkazů operačního systému (OS), která by mohla být zneužita k získání neoprávněného přístupu k zranitelným serverům a k úplnému převzetí kontroly.

„Oracle WebLogic Server, produkt v rámci sady Fusion Middleware, obsahuje zranitelnost injekce příkazů OS, která umožňuje útočníkovi spustit libovolný kód prostřednictvím speciálně vytvořeného HTTP požadavku, který obsahuje škodlivý XML dokument,“ uvedla CISA.

Ačkoli agentura nezveřejnila povahu útoků zneužívajících tuto zranitelnost, čínská skupina pro kryptojacking známá jako 8220 Gang (také jako Water Sigbin) má historii využívání této zranitelnosti od začátku minulého roku k zapojení zařízení do botnetu pro těžbu kryptoměn.

Podle nedávné zprávy publikované společností Trend Micro byla skupina 8220 Gang pozorována při zneužívání chyb v Oracle WebLogic serveru (CVE-2017-3506 a CVE-2023-21839) k bezsouborovému spuštění těžení kryptoměn v paměti pomocí shellového nebo PowerShell skriptu v závislosti na cílovém operačním systému.

„Gang používal techniky obfuskace, jako je hexadecimální kódování URL a používání HTTP přes port 443, což umožňuje nenápadné doručování škodlivého kódu,“ řekl bezpečnostní výzkumník Sunil Bharti. „PowerShell skript a výsledný dávkový soubor zahrnovaly složité kódování, používající proměnné prostředí k ukrytí škodlivého kódu v zdánlivě neškodných komponentech skriptu.“

Vzhledem k aktivnímu zneužívání CVE-2017-3506 se federálním agenturám doporučuje aplikovat nejnovější opravy do 24. června 2024, aby ochránily své sítě před potenciálními hrozbami.

Zdroj: thehackernews.com