Angriffe auf Oracle WebLogic-Server
Die US-Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hat eine Sicherheitslücke im Oracle WebLogic Server in den Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen, da es Hinweise auf eine aktive Ausnutzung gibt.
Die als CVE-2017-3506 (CVSS-Score: 7.4) bekannte Sicherheitslücke betrifft eine Command-Injection-Schwachstelle im Betriebssystem, die ausgenutzt werden kann, um unbefugten Zugriff auf anfällige Server zu erlangen und vollständige Kontrolle zu übernehmen. „Der Oracle WebLogic Server, ein Produkt der Fusion Middleware Suite, weist eine Schwachstelle zur Betriebssystem-Befehlseinschleusung auf. Diese ermöglicht es Angreifern, über speziell gestaltete HTTP-Anfragen mit einem schädlichen XML-Dokument beliebigen Code auszuführen“, erklärte CISA.
Obwohl die Behörde keine Details zu den Angriffen preisgab, nutzte die China-basierte Kryptojacking-Gruppe 8220 Gang (auch bekannt als Water Sigbin) diese Schwachstelle seit Anfang letzten Jahres, um ungepatchte Geräte in ein Krypto-Mining-Botnet einzubinden.
Einem aktuellen Bericht von Trend Micro zufolge nutzt die 8220 Gang die Schwachstellen im Oracle WebLogic Server (CVE-2017-3506 und CVE-2023-21839) aus, um mittels Shell- oder PowerShell-Skripten, je nach Zielbetriebssystem, einen Kryptowährungs-Miner dateilos im Speicher zu starten. „Die Gruppe nutzte Verschleierungstechniken, wie die hexadezimale Kodierung von URLs und die Verwendung von HTTP über Port 443, um die Schadsoftware unauffällig zu verbreiten“, erklärt Sicherheitsexperte Sunil Bharti. „Das PowerShell-Skript und die resultierende Batch-Datei beinhalteten komplexe Kodierungen, bei denen Umgebungsvariablen verwendet wurden, um bösartigen Code in scheinbar harmlosen Skript-Komponenten zu verstecken.“
Angesichts der aktiven Ausnutzung der Schwachstelle CVE-2017-3506 wird empfohlen, dass die neuesten Sicherheitsupdates einzuspielen.