A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou, na última quinta-feira, uma vulnerabilidade de segurança que afeta o Oracle WebLogic Server ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), citando evidências de exploração ativa.Identificada como CVE-2017-3506, a questão envolve uma vulnerabilidade de injeção de comando no sistema operacional (OS) que pode ser explorada para obter acesso não autorizado a servidores vulneráveis e assumir controle total.

“O Oracle WebLogic Server, um produto da suíte Fusion Middleware, contém uma vulnerabilidade de injeção de comando no OS que permite a um atacante executar código arbitrário por meio de uma solicitação HTTP especialmente elaborada que inclui um documento XML malicioso”, afirmou a CISA.

Embora a agência não tenha divulgado a natureza dos ataques que exploram a vulnerabilidade, o grupo de cryptojacking baseado na China, conhecido como Gangue 8220, tem um histórico de aproveitamento desta falha desde o início do ano passado para cooptar dispositivos desatualizados em uma botnet de mineração de criptomoedas.

A Gangue 8220 tem sido observada explorando falhas no servidor Oracle WebLogic (CVE-2017-3506 e CVE-2023-21839) para lançar um minerador de criptomoedas de forma fileless na memória, por meio de um script shell ou PowerShell, dependendo do sistema operacional alvo.