A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança que afeta o Oracle WebLogic Server ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), citando evidências de exploração ativa.
Identificado como CVE-2017-3506 (pontuação CVSS: 7.4), o problema diz respeito a uma vulnerabilidade de injeção de comando no sistema operacional (OS) que poderia ser explorada para obter acesso não autorizado a servidores suscetíveis e ter controle total.
“O Oracle WebLogic Server, um produto dentro da suíte Fusion Middleware, contém uma vulnerabilidade de injeção de comando no sistema operacional que permite a um invasor executar código arbitrário por meio de uma solicitação HTTP especialmente formulada que inclui um documento XML malicioso”, disse a CISA.
Embora a agência não tenha divulgado a natureza dos ataques explorando a vulnerabilidade, o grupo de criptografia sediado na China conhecido como Gangue 8220 (também conhecido como Water Sigbin) tem um histórico de alavancagem desde o início do ano passado para converter dispositivos não corrigidos em uma botnet de mineração de criptografia.
De acordo com um relatório recente publicado pela Trend Micro, a Gangue 8220 foi observada armando falhas no servidor Oracle WebLogic (CVE-2017-3506 e CVE-2023-21839) para lançar um minerador de criptomoedas sem arquivo na memória por meio de um script shell ou PowerShell dependendo do sistema operacional-alvo.
“O grupo empregou técnicas de ofuscação, como codificação hexadecimal de URLs e o uso de HTTP na porta 443, permitindo a entrega furtiva de payloads”, disse o pesquisador de segurança Sunil Bharti. “O script PowerShell e o arquivo em lote resultante envolveram codificação complexa, usando variáveis de ambiente para ocultar código malicioso dentro de componentes de script aparentemente benignos.”
Diante da exploração ativa do CVE-2017-3506, é recomendado que agências federais apliquem as correções mais recentes até 24 de junho de 2024 para proteger suas redes contra ameaças potenciais.
