Η CISA ανακοίνωσε την Πέμπτη μια vulnerability ασφαλείας που επηρεάζει το Oracle WebLogic Server στον κατάλογο Γνωστών Εκμεταλλευμένων Ευπαθειών (KEV), επικαλούμενη στοιχεία ενεργής εκμετάλλευσης.

Καταγεγραμμένη ως CVE-2017-3506 (βαθμολογία CVSS: 7.4), το ζήτημα αφορά μια injection vulnerability εντολών στο λειτουργικό σύστημα (OS). Σε περίπτωση που υπάρξει εκμετάλλευση, μπορεί να παρέχει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητους servers και πλήρη έλεγχο αυτών.

Read also: Η CISA προειδοποιεί για εκμετάλλευση ευπαθειών Chrome, D-Link

Το Oracle WebLogic Server, μέρος του Fusion Middleware, περιέχει μία ευπάθεια εισαγωγής εντολών λειτουργικού συστήματος, η οποία επιτρέπει σε έναν hacker να εκτελεί αυθαίρετο κώδικα μέσω ενός ειδικά διαμορφωμένου αιτήματος HTTP που περιλαμβάνει κακόβουλο XML έγγραφο, ανέφερε η CISA.

Παρά το γεγονός ότι η υπηρεσία δεν αποκάλυψε τη φύση των επιθέσεων που εκμεταλλεύονται την ευπάθεια, η ομάδα encryption από την Κίνα, γνωστή ως 8220 Gang (ή Water Sigbin), έχει ιστορικό ανάμειξης αυτής της ευπάθειας από τις αρχές του περασμένου έτους για να εντάξει μη επιδιορθωμένες συσκευές σε botnet εξόρυξης κρυπτονομισμάτων.

Σύμφωνα με πρόσφατη αναφορά της Trend Micro, η ομάδα 8220 Gang εκμεταλλεύεται ευπάθειες στον διακομιστή Oracle WebLogic (CVE-2017-3506 και CVE-2023-21839) για να εκκινήσει εξόρυξη κρυπτονομισμάτων χωρίς αρχείο στη μνήμη. Αυτό γίνεται μέσω shell σεναρίου ή PowerShell, ανάλογα με το στοχευόμενο operating system

.

«Η συμμορία χρησιμοποίησε τεχνικές συσκότισης, όπως η δεκαεξαδική κωδικοποίηση URL και η χρήση HTTP μέσω της θύρας 443, επιτρέποντας την αθόρυβη παράδοση του ωφέλιμου φορτίου», δήλωσε ο ερευνητής Security Sunil Bharti. «Το PowerShell script και το παραγόμενο batch file περιείχαν περίπλοκη κωδικοποίηση, χρησιμοποιώντας μεταβλητές περιβάλλοντος για να κρύψουν κακόβουλο κώδικα μέσα σε φαινομενικά αβλαβή στοιχεία σεναρίου».

See more: Κατάλογος KEV: Η CISA προσθέτει ευπάθειες των D-Link routers

Λαμβάνοντας υπόψη την ενεργή εκμετάλλευση της ευπάθειας CVE-2017-3506, οι ομοσπονδιακές υπηρεσίες καλούνται να εφαρμόσουν τις πιο πρόσφατες διορθώσεις έως τις 24 Ιουνίου 2024, ώστε να προστατεύσουν τα δίκτυά τους από πιθανές απειλές.

Source: thehackernews