Η CISA ανακοίνωσε την Πέμπτη μια ευπάθεια ασφαλείας που επηρεάζει το Oracle WebLogic Server στον κατάλογο Γνωστών Εκμεταλλευμένων Ευπαθειών (KEV), επικαλούμενη στοιχεία ενεργής εκμετάλλευσης.
Καταγεγραμμένη ως CVE-2017-3506 (βαθμολογία CVSS: 7.4), το ζήτημα αφορά μια injection ευπάθεια εντολών στο λειτουργικό σύστημα (OS). Σε περίπτωση που υπάρξει εκμετάλλευση, μπορεί να παρέχει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητους servers και πλήρη έλεγχο αυτών.
Διαβάστε επίσης: Η CISA προειδοποιεί για εκμετάλλευση ευπαθειών Chrome, D-Link
Το Oracle WebLogic Server, μέρος του Fusion Middleware, περιέχει μία ευπάθεια εισαγωγής εντολών λειτουργικού συστήματος, η οποία επιτρέπει σε έναν χάκερ να εκτελεί αυθαίρετο κώδικα μέσω ενός ειδικά διαμορφωμένου αιτήματος HTTP που περιλαμβάνει κακόβουλο XML έγγραφο, ανέφερε η CISA.
Παρά το γεγονός ότι η υπηρεσία δεν αποκάλυψε τη φύση των επιθέσεων που εκμεταλλεύονται την ευπάθεια, η ομάδα κρυπτογράφησης από την Κίνα, γνωστή ως 8220 Gang (ή Water Sigbin), έχει ιστορικό ανάμειξης αυτής της ευπάθειας από τις αρχές του περασμένου έτους για να εντάξει μη επιδιορθωμένες συσκευές σε botnet εξόρυξης κρυπτονομισμάτων.
Σύμφωνα με πρόσφατη αναφορά της Trend Micro, η ομάδα 8220 Gang εκμεταλλεύεται ευπάθειες στον διακομιστή Oracle WebLogic (CVE-2017-3506 και CVE-2023-21839) για να εκκινήσει εξόρυξη κρυπτονομισμάτων χωρίς αρχείο στη μνήμη. Αυτό γίνεται μέσω shell σεναρίου ή PowerShell, ανάλογα με το στοχευόμενο λειτουργικό σύστημα.
«Η συμμορία χρησιμοποίησε τεχνικές συσκότισης, όπως η δεκαεξαδική κωδικοποίηση URL και η χρήση HTTP μέσω της θύρας 443, επιτρέποντας την αθόρυβη παράδοση του ωφέλιμου φορτίου», δήλωσε ο ερευνητής ασφάλειας Sunil Bharti. «Το PowerShell script και το παραγόμενο batch file περιείχαν περίπλοκη κωδικοποίηση, χρησιμοποιώντας μεταβλητές περιβάλλοντος για να κρύψουν κακόβουλο κώδικα μέσα σε φαινομενικά αβλαβή στοιχεία σεναρίου».
Δείτε περισσότερα: Κατάλογος KEV: Η CISA προσθέτει ευπάθειες των D-Link routers
Λαμβάνοντας υπόψη την ενεργή εκμετάλλευση της ευπάθειας CVE-2017-3506, οι ομοσπονδιακές υπηρεσίες καλούνται να εφαρμόσουν τις πιο πρόσφατες διορθώσεις έως τις 24 Ιουνίου 2024, ώστε να προστατεύσουν τα δίκτυά τους από πιθανές απειλές.
Πηγή: thehackernews
, επικαλούμενη στοιχεία ενεργής εκμετάλλευσης.){kind=link}