La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad que afecta al servidor Oracle WebLogic al catálogo de vulnerabilidades explotadas conocidas ( KEV ), citando evidencia de explotación activa.
Registrado como CVE-2017-3506 (puntuación CVSS: 7,4), el problema se refiere a una vulnerabilidad de inyección de comandos del sistema operativo (SO) que podría explotarse para obtener acceso no autorizado a servidores susceptibles y tomar el control total.
«Oracle WebLogic Server, un producto dentro de la suite Fusion Middleware, contiene una vulnerabilidad de inyección de comandos del sistema operativo que permite a un atacante ejecutar código arbitrario a través de una solicitud HTTP especialmente diseñada que incluye un documento XML malicioso», dijo CISA.
Si bien la agencia no reveló la naturaleza de los ataques que explotan la vulnerabilidad, el grupo de criptojacking con sede en China conocido como 8220 Gang (también conocido como Water Sigbin) tiene un historial de aprovecharlo desde principios del año pasado para incorporar dispositivos sin parches en una criptomoneda. botnet minero.
Según un informe reciente publicado por Trend Micro, se ha observado que 8220 Gang utiliza fallas en el servidor Oracle WebLogic (CVE-2017-3506 y CVE-2023-21839 ) para lanzar un minero de criptomonedas sin archivos en la memoria mediante un shell o Script de PowerShell según el sistema operativo de destino.
«La pandilla empleó técnicas de ofuscación, como la codificación hexadecimal de URL y el uso de HTTP a través del puerto 443, lo que permitió la entrega sigilosa de carga útil», dijo el investigador de seguridad Sunil Bharti . «El script de PowerShell y el archivo por lotes resultante implicaban una codificación compleja, utilizando variables de entorno para ocultar código malicioso dentro de componentes de script aparentemente benignos».
A la luz de la explotación activa de CVE-2017-3506, se recomienda a las agencias federales que apliquen las últimas correcciones antes del 24 de junio de 2024 para proteger sus redes contra posibles amenazas.
Fuente y redacción: thehackernews.com