Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Lỗ hổng có định danh CVE-2017-3506 (điểm CVSS: 7,4), liên quan đến lỗi OS Command Injection có thể bị khai thác để giành quyền truy cập trái phép và chiếm toàn quyền kiểm soát trên các máy chủ bị ảnh hưởng.
CISA cho biết: “Máy chủ Oracle WebLogic, một sản phẩm trong bộ Fusion Middleware, tồn tại OS Command Injection cho phép kẻ tấn công thực thi mã tùy ý thông qua yêu cầu (request) HTTP có chứa tài liệu XML độc hại”.
Mặc dù, CISA không tiết lộ bản chất của các cuộc tấn công khai thác lỗ hổng, nhưng nhóm tin tặc khai thác tiền điện tử 8220 Gang (hay Water Sigbin) từng được biết đến với việc lạm dụng lỗ hổng Oracle WebLogic vào đầu năm ngoái để xâm phạm các thiết bị chưa được vá và thêm chúng vào mạng lưới botnet khai thác tiền điện tử.
Theo một báo cáo gần đây do Trend Micro công bố, 8220 Gang đã lạm dụng các lỗ hổng trong máy chủ Oracle WebLogic (CVE-2017-3506 và CVE-2023-21839) để khởi chạy một công cụ khai thác tiền điện tử trong bộ nhớ bằng shell hoặc tập lệnh PowerShell tùy thuộc vào hệ điều hành được nhắm mục tiêu.
Cảnh báo lỗ hổng trên máy chủ WebLogic của Oracle đang bị khai thác tích cực
Nhà nghiên cứu bảo mật Sunil Bharti cho biết: “Nhóm này đã sử dụng các kỹ thuật che giấu, chẳng hạn như mã hóa (encode) thập lục phân các URL và sử dụng HTTP qua cổng 443, cho phép nó lén lút tải xuống các payload (tệp độc hại). Tập lệnh PowerShell và tệp batch sử dụng các hàm mã hóa phức tạp, sử dụng các biến môi trường để ẩn dấu mã độc bên trong các thành phần tập lệnh trông có vẻ vô hại".
Do hoạt động khai thác CVE-2017-3506 đang diễn ra trong thực tế, các cơ quan liên bang được khuyến nghị áp dụng các bản vá mới nhất trước ngày 24/6/2024 để bảo vệ hệ thống của họ trước các mối đe dọa tiềm ẩn.
Theo An toàn thông tin