Агентство кибербезопасности и инфраструктуры безопасности США (CISA) в четверг добавило ошибку безопасности, влияющую на сервер Oracle WebLogic, в каталог известных эксплуатируемых уязвимостей (KEV), ссылаясь на свидетельства активного использования.
Отслеживается как CVE-2017-3506 (оценка CVSS: 7.4), проблема связана с уязвимостью при внедрении команд в операционную систему (OS), которая может быть использована для получения несанкционированного доступа к уязвимым серверам и получения полного контроля.
"Oracle WebLogic Server, продукт из пакета промежуточного программного обеспечения Fusion, содержит уязвимость при внедрении команд операционной системы, которая позволяет злоумышленнику выполнять произвольный код с помощью специально созданного HTTP-запроса, который включает вредоносный XML-документ", - сказали в CISA.
Хотя агентство не раскрыло характер атак, использующих уязвимость, базирующаяся в Китае группа криптоджекеров, известная как the 8220 Gang (она же Water Sigbin), имеет историю использования ее с начала прошлого года для кооптации незащищенных устройств в ботнет для криптодобычи.
Согласно недавнему отчету, опубликованному Trend Micro, было замечено, что банда 8220 использует уязвимости в Oracle WebLogic server (CVE-2017-3506 и CVE-2023-21839) для запуска майнера криптовалюты без файлов в памяти с помощью оболочки или сценария PowerShell, в зависимости от целевой операционной системы.
"Банда использовала методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и использование HTTP через порт 443, что позволяет осуществлять скрытую доставку полезной нагрузки", - сказал исследователь безопасности Сунил Бхарти. "Сценарий PowerShell и результирующий пакетный файл включали сложное кодирование с использованием переменных среды для сокрытия вредоносного кода внутри, казалось бы, безвредных компонентов сценария".
В свете активной эксплуатации CVE-2017-3506 федеральным агентствам рекомендуется применить последние исправления к 24 июня 2024 года для защиты своих сетей от потенциальных угроз.
Отслеживается как CVE-2017-3506 (оценка CVSS: 7.4), проблема связана с уязвимостью при внедрении команд в операционную систему (OS), которая может быть использована для получения несанкционированного доступа к уязвимым серверам и получения полного контроля.
"Oracle WebLogic Server, продукт из пакета промежуточного программного обеспечения Fusion, содержит уязвимость при внедрении команд операционной системы, которая позволяет злоумышленнику выполнять произвольный код с помощью специально созданного HTTP-запроса, который включает вредоносный XML-документ", - сказали в CISA.
Хотя агентство не раскрыло характер атак, использующих уязвимость, базирующаяся в Китае группа криптоджекеров, известная как the 8220 Gang (она же Water Sigbin), имеет историю использования ее с начала прошлого года для кооптации незащищенных устройств в ботнет для криптодобычи.
Согласно недавнему отчету, опубликованному Trend Micro, было замечено, что банда 8220 использует уязвимости в Oracle WebLogic server (CVE-2017-3506 и CVE-2023-21839) для запуска майнера криптовалюты без файлов в памяти с помощью оболочки или сценария PowerShell, в зависимости от целевой операционной системы.
"Банда использовала методы обфускации, такие как шестнадцатеричное кодирование URL-адресов и использование HTTP через порт 443, что позволяет осуществлять скрытую доставку полезной нагрузки", - сказал исследователь безопасности Сунил Бхарти. "Сценарий PowerShell и результирующий пакетный файл включали сложное кодирование с использованием переменных среды для сокрытия вредоносного кода внутри, казалось бы, безвредных компонентов сценария".
В свете активной эксплуатации CVE-2017-3506 федеральным агентствам рекомендуется применить последние исправления к 24 июня 2024 года для защиты своих сетей от потенциальных угроз.
