A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quinta-feira uma falha de segurança que afeta o Oracle WebLogic Server ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
Rastreado como CVE-2017-3506 (pontuação CVSS: 7,4), o problema diz respeito a uma vulnerabilidade de injeção de comando do sistema operacional (SO) que pode ser explorada para obter acesso não autorizado a servidores suscetíveis e assumir o controle complete.
“O Oracle WebLogic Server, um produto do conjunto Fusion Middleware, contém uma vulnerabilidade de injeção de comando do sistema operacional que permite que um invasor execute código arbitrário por meio de uma solicitação HTTP especialmente criada que inclui um documento XML malicioso”, disse a CISA.
Embora a agência não tenha divulgado a natureza dos ataques que exploram a vulnerabilidade, o grupo de criptojacking com sede na China conhecido como 8220 Gang (também conhecido como Water Sigbin) tem um histórico de aproveitá-lo desde o início do ano passado para cooptar dispositivos não corrigidos em um cripto- botnet de mineração.
De acordo com um relatório recente publicado pela Development Micro, a Gangue 8220 foi observada armando falhas no servidor Oracle WebLogic (CVE-2017-3506 e CVE-2023-21839) para lançar um minerador de criptomoeda sem arquivo na memória por meio de um shell ou Script do PowerShell dependendo do sistema operacional de destino.
“A gangue empregou técnicas de ofuscação, como codificação hexadecimal de URLs e uso de HTTP na porta 443, permitindo a entrega furtiva de carga útil”, disse o pesquisador de segurança Sunil Bharti. “O script do PowerShell e o arquivo em lote resultante envolviam codificação complexa, usando variáveis de ambiente para ocultar código malicioso em componentes de script aparentemente benignos.”
À luz da exploração ativa de CVE-2024-1086 e CVE-2024-24919, recomenda-se que as agências federais apliquem as correções mais recentes até 24 de junho de 2024, para proteger suas redes contra ameaças potenciais.
