ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), perşembe günü Oracle WebLogic Sunucusunu etkileyen bir güvenlik kusurunu, aktif istismarın kanıtlarını öne sürerek Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2017-3506 (CVSS puanı: 7,4) olarak takip edilen sorun, duyarlı sunuculara yetkisiz erişim elde etmek ve kontrolü tamamen ele geçirmek için kullanılabilecek bir işletim sistemi (OS) komut ekleme güvenlik açığıyla ilgilidir.
CISA, “Fusion Middleware paketindeki bir ürün olan Oracle WebLogic Server, bir saldırganın, kötü amaçlı bir XML belgesi içeren özel hazırlanmış bir HTTP isteği yoluyla rastgele kod yürütmesine olanak tanıyan bir işletim sistemi komut ekleme güvenlik açığı içeriyor” dedi.
Ajans, bu güvenlik açığından yararlanan saldırıların doğasını açıklamamış olsa da, 8220 Gang (diğer adıyla Water Sigbin) olarak bilinen Çin merkezli kripto korsanlık grubunun, geçen yılın başlarından bu yana yamalı cihazları kripto-parazitlere dahil etmek için bundan yararlanma geçmişi var. madencilik botnet’i.
Trend Micro tarafından yayınlanan yakın tarihli bir rapora göre, 8220 Gang’ın, Oracle WebLogic sunucusundaki (CVE-2017-3506 ve CVE-2023-21839) bir kabuk veya yazılım aracılığıyla bellekte dosyasız bir kripto para madencisini başlatmak için kusurları silah haline getirdiği gözlemlendi. Hedeflenen işletim sistemine bağlı olarak PowerShell betiği.
Güvenlik araştırmacısı Sunil Bharti, “Çete, URL’lerin onaltılı kodlaması ve 443 numaralı bağlantı noktası üzerinden HTTP kullanılması gibi gizleme teknikleri kullanarak gizli yük dağıtımına olanak sağladı” dedi. “PowerShell betiği ve sonuçta ortaya çıkan toplu iş dosyası, görünüşte zararsız betik bileşenleri içindeki kötü amaçlı kodları gizlemek için ortam değişkenlerini kullanan karmaşık kodlamayı içeriyordu.”
CVE-2024-1086 ve CVE-2024-24919’un aktif kullanımı ışığında, federal kurumların ağlarını potansiyel tehditlere karşı korumak için 24 Haziran 2024’e kadar en son düzeltmeleri uygulamaları önerilir.