La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) incluyó una vulnerabilidad de seguridad que afecta al Servidor Oracle WebLogic en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el jueves. Esta vulnerabilidad, conocida como CVE-2017-3506 (puntaje CVSS: 7.4), se refiere a una vulnerabilidad de inyección de comandos del sistema operativo (SO) que podría ser explotada para obtener acceso no autorizado a servidores susceptibles y tomar control total.
CISA explicó que «Oracle WebLogic Server, un producto dentro del conjunto Fusion Middleware, contiene una vulnerabilidad de inyección de comandos del SO que permite a un atacante ejecutar código arbitrario a través de una solicitud HTTP diseñada para incluir un documento XML malicioso».
Aunque la agencia no reveló la naturaleza de los ataques que aprovechan la vulnerabilidad, el grupo de cryptojacking con sede en China conocido como <a href='
‘>la banda 8220 tiene un historial de aprovecharla desde principios del año pasado para cooptar dispositivos sin parches en un botnet de criptomining.
Según un informe reciente publicado por Trend Micro, se ha observado a la banda 8220 utilizar fallas en el servidor Oracle WebLogic (CVE-2017-3506 y CVE-2023-21839) para lanzar un minero de criptomonedas sin archivos en memoria mediante un script de shell o PowerShell dependiendo del sistema operativo objetivo.
El investigador de seguridad Sunil Bharti señaló que «la banda empleó técnicas de ofuscación, como la codificación en hexadecimal de URL y el uso de HTTP en el puerto 443, lo que permite una entrega sigilosa de la carga útil».
Ante la explotación activa de CVE-2017-3506, se recomienda a las agencias federales aplicar las últimas correcciones antes del 24 de junio de 2024 para proteger sus redes contra posibles amenazas.
Vía The Hacker News
