A CISA, agência da segurança cibernética dos EUA, publicou um alerta sobre a exploração de uma vulnerabilidade corrigida sete anos atrás: é a CVE-2017-3506, com um grau 7,4 de gravidade na escala CVSS, que afeta o WebLogic Server da Oracle, permitindo a execução remota de comandos nos sistemas vulneráveis. Os patches foram lançados em abril de 2017, mas monitoramento recente indica que agora a falha está sendo explorado por cibercriminosos chineses com motivação financeira. A CISA anunciou que incluiu essa CVE em seu Catálogo de Vulnerabilidades Exploradas Conhecidas.
Veja isso
Infraestrutura de IoT precisa de proteção automatizada e rápida
CISA faz alerta sobre bugs no Windows, Sophos e Oracle
A recomendação para os usuários é que apliquem mitigações de acordo com as instruções do fornecedor ou interrompam o uso do produto se as mitigações não estiverem disponíveis. De acordo com um levantamento recente da Trend Micro, o grupo chinês, que ela chama de Water Sigbin (também conhecido como 8220 Gang) está transformando o CVE-2017-3506 em uma arma junto com uma segunda vulnerabilidade Oracle WebLogic mais recente (CVE-2023-21839) para implantar mineradores de criptomoedas.
O grupo é conhecido por atacar falhas do Oracle WebLogic, bem como log4j , bugs do Atlassian Confluence e contêineres Docker mal configurados para infectar hosts com qualquer malware que desejar usar. Às vezes é um criptominerador como o XMRig, outras vezes é um botnet DDoS como o Tsunami – ele muda com frequência.
Em alguns casos, porém, o seu ofício permanece o mesmo. A Trend Micro investigou o grupo em maio de 2023, depois que foi observado explorando o CVE-2017-3506 em ataques anteriores separados. Ele disse que, apesar de alguns pesquisadores rotularem o grupo de “ script kiddies ”, na opinião da Trend, é uma “ameaça a ser considerada”.
