June 22, 2024

ช่องโหว่ของ Oracle WebLogic Server ทำองค์กรโดนโจมตี

เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มข้อบกพร่องด้านความปลอดภัย CVE-2017-3506 ที่ส่งผลกระทบต่อ Oracle WebLogic Server มีทำให้แฮกเกอร์สามารถรันคำสั่งของระบบปฏิบัติการได้ตามอำเภอใจจากฝั่งไคลเอนต์ และระบุว่ามีการใช้ช่อองโหว่ดังกล่าวในการเล่นงานองค์กรอย่างต่อเนื่อง

แม้ CISA จะไม่ได้เปิดเผยลักษณะของการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ แต่กลุ่ม 8220 Gang (หรือที่รู้จักในชื่อ Water Sigbin) ซึ่งมีฐานอยู่ในจีน ก็มีประวัติการใช้ประโยชน์จากข้อบกพร่องดังกล่าวตั้งแต่ต้นปีที่แล้ว เพื่อเจาะระบบที่ไม่ได้รับการแก้ไข และนำไปใช้เป็นบอตเน็ตการขุดคริปโต

ตามรายงานล่าสุดที่เผยแพร่โดย Trend Micro พบว่ากลุ่ม 8220 Gang ได้ใช้ช่องโหว่ในเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-3506 และ CVE-2023-21839) เป็นช่องทางเปิดใช้งานการขุดคริปโตเคอเรนซีแบบไร้ไฟล์ในหน่วยความจำโดยใช้สคริปต์เชลล์หรือ PowerShell

ทั้งนี้ข้อบกพร่อง CVE-2024-1086 และ CVE-2024-24919 ได้รับการแก้ไขเรียบร้อย ใครใช้อยู่ให้รีบตรวจสอบและแก้ไขโดยด่วน

ที่มา : thehackernews