U.S.C. Cybersecurity and Infrastructure Security Agency (CISA) lade pÄ torsdagen till en sÀkerhetsbrist som pÄverkar Oracle WebLogic Server till katalogen Known Exploited Vulnerabilities (KEV), med hÀnvisning till bevis pÄ aktivt utnyttjande.
SpÄras som CVE-2017-3506 (CVSS poÀng: 7,4), problemet gÀller en sÄrbarhet för kommandoinjektion av operativsystem (OS) som kan utnyttjas för att fÄ obehörig Ätkomst till mottagliga servrar och ta fullstÀndig kontroll.
"Oracle WebLogic Server, en produkt inom Fusion Middleware sviten, innehÄller en sÄrbarhet för OS kommandoinjektion som gör att en angripare kan exekvera godtycklig kod via en specialgjord HTTP förfrÄgan som inkluderar ett skadligt XML dokument," sÀger CISA.
Ăven om byrĂ„n inte avslöjade arten av attacker som utnyttjar sĂ„rbarheten, har den Kina baserade krypto jackningsgruppen kĂ€nd som 8220 Gang (alias Water Sigbin) en historia av att utnyttja den sedan början av förra Ă„ret för att samordna oparpade enheter till en crypto-mining botnet.
Enligt en nyligen publicerad rapport publicerad av Trend Micro har 8220 Gang observerats som weaponizing flaws i Oracle WebLogic servern (CVE-2017-3506 och CVE-2023-21839) för att starta en cryptocurrency miner fillöst i minnet med hjÀlp av ett skal eller PowerShell skript beroende pÄ vilket operativsystem som det Àr inriktat pÄ.
"GÀnget anvÀnde fördunklingstekniker, sÄsom hexadecimal kodning av URL:er och anvÀndning av HTTP över port 443, vilket möjliggör smyg leverans av nyttolast," sÀger sÀkerhetsforskaren Sunil Bharti. "PowerShell skriptet och den resulterande batchfilen involverade komplex kodning, med anvÀndning av miljövariabler för att dölja skadlig kod i till synes godartade skriptkomponenter."
I ljuset av det aktiva utnyttjandet av CVE-2017-3506, rekommenderas federala myndigheter att tillÀmpa de senaste korrigeringarna senast den 24 juni 2024, för att skydda sina nÀtverk mot potentiella hot.
Inga kommentarer:
Skicka en kommentar