Oracle WebLogic Server sofre ataque

4 de Junho de 2024

A Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA) na quinta-feira adicionou uma falha de segurança que afeta o Oracle WebLogic Server ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.

Identificada como CVE-2017-3506 (pontuação CVSS: 7.4), a questão envolve uma vulnerabilidade de injeção de comando em sistema operacional (OS) que pode ser explorada para obter acesso não autorizado a servidores suscetíveis e assumir controle total.

"O Oracle WebLogic Server, um produto dentro da suíte Fusion Middleware, contém uma vulnerabilidade de injeção de comando em OS que permite a um atacante executar código arbitrário por meio de uma requisição HTTP especialmente elaborada que inclui um documento XML malicioso", disse a CISA.

Embora a agência não tenha divulgado a natureza dos ataques que exploram a vulnerabilidade, o grupo de criptojacking sediado na China conhecido como Gangue 8220 (também conhecido como Water Sigbin) tem um histórico de utilizá-la desde o início do ano passado para cooptar dispositivos não corrigidos em uma botnet de mineração de criptomoedas.

De acordo com um relatório recente publicado pela Trend Micro, a Gangue 8220 foi observada aproveitando falhas no servidor Oracle WebLogic ( CVE-2017-3506 e CVE-2023-21839 ) para lançar um minerador de criptomoeda de forma fileless na memória por meio de um script de shell ou PowerShell, dependendo do sistema operacional visado.

"A gangue empregou técnicas de ofuscação, como codificação hexadecimal de URLs e usando HTTP sobre a porta 443, permitindo uma entrega de payload furtiva", disse o pesquisador de segurança Sunil Bharti.

"O script PowerShell e o arquivo batch resultante envolveram codificação complexa, usando variáveis de ambiente para esconder código malicioso dentro de componentes de script aparentemente inofensivos."

Diante da exploração ativa do CVE-2017-3506 , recomenda-se que as agências federais apliquem as correções mais recentes até 24 de junho de 2024, para proteger suas redes contra ameaças potenciais.

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...