ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü katma Oracle WebLogic Sunucusunu etkileyen Bilinen Açıklardan Yararlanan Güvenlik Açıklarına (KEV) aktif sömürünün kanıtlarını gösteren katalog.
Şu şekilde izlendi: CVE-2017-3506 (CVSS puanı: 7.4), sorun, duyarlı sunuculara yetkisiz erişim elde etmek ve tam kontrolü ele geçirmek için kullanılabilecek bir işletim sistemi (OS) komut ekleme güvenlik açığıyla ilgilidir.
CISA, “Fusion Middleware paketindeki bir ürün olan Oracle WebLogic Server, bir saldırganın, kötü amaçlı bir XML belgesi içeren özel hazırlanmış bir HTTP isteği yoluyla rastgele kod yürütmesine olanak tanıyan bir işletim sistemi komut ekleme güvenlik açığı içeriyor” dedi.
Ajans, bu güvenlik açığından yararlanan saldırıların doğasını açıklamamış olsa da, 8220 Gang (diğer adıyla Water Sigbin) olarak bilinen Çin merkezli kripto korsanlık grubunun, geçen yılın başlarından bu yana yamalı cihazları kripto-parazitlere dahil etmek için bundan yararlanma geçmişi var. madencilik botnet’i.
Trend Micro tarafından yayınlanan yakın tarihli bir rapora göre, 8220 Gang’ın Oracle WebLogic sunucusundaki kusurları silah haline getirdiği gözlemlendi (CVE-2017-3506 ve CVE-2023-21839), hedeflenen işletim sistemine bağlı olarak bir kabuk veya PowerShell betiği aracılığıyla bir kripto para madencisini bellekte dosyasız bir şekilde başlatmak için.
Güvenlik araştırmacısı Sunil Bharti, “Çete, URL’lerin onaltılık sistemle kodlanması ve 443 numaralı bağlantı noktası üzerinden HTTP kullanılması gibi gizleme teknikleri kullanarak gizli yük dağıtımına olanak sağladı” dedi. söz konusu. “PowerShell betiği ve sonuçta ortaya çıkan toplu iş dosyası, görünüşte zararsız betik bileşenleri içindeki kötü amaçlı kodları gizlemek için ortam değişkenlerini kullanan karmaşık kodlamayı içeriyordu.”
CVE-2024-1086 ve CVE-2024-24919’un aktif kullanımı ışığında, federal kurumların ağlarını potansiyel tehditlere karşı korumak için 24 Haziran 2024’e kadar en son düzeltmeleri uygulamaları önerilir.