Агентство кибербезопасности и инфраструктуры безопасности США (CISA) в четверг добавило ошибку безопасности, влияющую на сервер Oracle WebLogic, в каталог известных эксплуатируемых уязвимостей (KEV), ссылаясь на свидетельства активного использования.
Отслеживается как CVE-2017-3506 (оценка CVSS: 7.4), проблема связана с уязвимостью при внедрении команд в операционную систему (OS), которая может быть использована для получения несанкционированного доступа к уязвимым серверам и получения полного контроля.
"Oracle WebLogic Server, продукт из пакета промежуточного программного обеспечения Fusion, содержит уязвимость при внедрении команд операционной системы, которая позволяет злоумышленнику выполнять произвольный код с помощью специально созданного HTTP-запроса, который включает вредоносный XML-документ", - сказали в CISA.
Хотя агентство не раскрыло характер атак, использующих уязвимость, базирующаяся в Китае группа криптоджекеров, известная как the 8220 Gang (она же Water Sigbin), имеет историю использования ее с начала прошлого года для кооптации незащищенных устройств в ботнет для криптодобычи.
Согласно недавнему отчету, опубликованному Trend Micro, было замечено, что банда 8220 использует уязвимости в Oracle WebLogic server (CVE-2017-3506 и CVE-2023-21839) для запуска майнера криптовалюты без файлов в памяти с помощью оболочки или сценария PowerShell, в зависимости от целевой операционной системы.
"Банда использовала методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и использование HTTP через порт 443, что позволяет осуществлять скрытую доставку полезной нагрузки", - сказал исследователь безопасности Сунил Бхарти. "Сценарий PowerShell и результирующий пакетный файл включали сложное кодирование с использованием переменных среды для сокрытия вредоносного кода внутри, казалось бы, безвредных компонентов сценария".
В свете активной эксплуатации CVE-2017-3506 федеральным агентствам рекомендуется применить последние исправления к 24 июня 2024 года для защиты своих сетей от потенциальных угроз.
Отслеживается как CVE-2017-3506 (оценка CVSS: 7.4), проблема связана с уязвимостью при внедрении команд в операционную систему (OS), которая может быть использована для получения несанкционированного доступа к уязвимым серверам и получения полного контроля.
"Oracle WebLogic Server, продукт из пакета промежуточного программного обеспечения Fusion, содержит уязвимость при внедрении команд операционной системы, которая позволяет злоумышленнику выполнять произвольный код с помощью специально созданного HTTP-запроса, который включает вредоносный XML-документ", - сказали в CISA.
Хотя агентство не раскрыло характер атак, использующих уязвимость, базирующаяся в Китае группа криптоджекеров, известная как the 8220 Gang (она же Water Sigbin), имеет историю использования ее с начала прошлого года для кооптации незащищенных устройств в ботнет для криптодобычи.
Согласно недавнему отчету, опубликованному Trend Micro, было замечено, что банда 8220 использует уязвимости в Oracle WebLogic server (CVE-2017-3506 и CVE-2023-21839) для запуска майнера криптовалюты без файлов в памяти с помощью оболочки или сценария PowerShell, в зависимости от целевой операционной системы.
![fig1.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrA6z1y-9k820wy2Ao025lAzx6VVAVUdhHittnA5UyeLkyd1dEbaDfxQtt4mWGNJXWURVIwwJZZJjBpIEme-rNQUwNS2PSSbud6dQW8lAK7AbRYZLbj-JtvmwGQYFLJ3g5D8hmRH6WhEl2QsS48-YwL3uafF6xcBhM5e97CuOjM5Z886AB-kmnCkEwo_Pj/s728-rw-e365/fig1.jpg)
"Банда использовала методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и использование HTTP через порт 443, что позволяет осуществлять скрытую доставку полезной нагрузки", - сказал исследователь безопасности Сунил Бхарти. "Сценарий PowerShell и результирующий пакетный файл включали сложное кодирование с использованием переменных среды для сокрытия вредоносного кода внутри, казалось бы, безвредных компонентов сценария".
В свете активной эксплуатации CVE-2017-3506 федеральным агентствам рекомендуется применить последние исправления к 24 июня 2024 года для защиты своих сетей от потенциальных угроз.