Ciberseguridad 360 | Ataque activo explota vulnerabilidad de inyección de comandos en servidor Oracle WebLogic

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. a�adi� el jueves un fallo de seguridad que afecta al servidor WebLogic de Oracle al cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), citando pruebas de explotaci�n activa.

Registrado como CVE-2017-3506 (puntuaci�n CVSS: 7,4), el problema se refiere a una vulnerabilidad de inyecci�n de comandos del sistema operativo (SO) que podr�a aprovecharse para obtener acceso no autorizado a servidores susceptibles y tomar el control completo.

�Oracle WebLogic Server, un producto dentro de la suite Fusion Middleware, contiene una vulnerabilidad de inyecci�n de comandos OS que permite a un atacante ejecutar c�digo arbitrario a trav�s de una solicitud HTTP especialmente dise�ada que incluye un documento XML malicioso�, dijo CISA.

Aunque la agencia no revel� la naturaleza de los ataques que explotan la vulnerabilidad, el grupo de criptojacking con sede en China conocido como 8220 Gang (alias Water Sigbin) tiene antecedentes de aprovecharla desde principios del a�o pasado para cooptar dispositivos sin parches en una botnet de miner�a de criptomonedas.

Seg�n un informe reciente publicado por Trend Micro, se ha observado a la 8220 Gang aprovechando fallos en el servidor Oracle WebLogic (CVE-2017-3506 y CVE-2023-21839) para lanzar un minero de criptomonedas sin archivos en la memoria por medio de un script shell o PowerShell dependiendo del sistema operativo objetivo.

�La banda empleaba t�cnicas de ofuscaci�n, como la codificaci�n hexadecimal de las URL y el uso de HTTP a trav�s del puerto 443, lo que permit�a la entrega sigilosa de la carga �til�, explic� el investigador de seguridad Sunil Bharti. �El script PowerShell y el archivo por lotes resultante implicaban una codificaci�n compleja, utilizando variables de entorno para ocultar c�digo malicioso dentro de componentes de script aparentemente benignos�.

A la luz de la explotaci�n activa de CVE-2017-3506, se recomienda a las agencias federales que apliquen las �ltimas correcciones antes del 24 de junio de 2024 para proteger sus redes contra posibles amenazas.

Fuente: thehackernews