已有7年历史的Oracle漏洞是最新添加到CISA已知利用漏洞(KEV)目录中的漏洞,这意味着安全机构认为它对联邦政府构成重大威胁.
CVE-2017-3506会影响Oracle的WebLogic服务器,允许在受影响的操作系统上远程执行命令.
补丁最初是在2017年4月发布的,但最近的研究表明,出于经济动机,它现在正被中国网络犯罪分子利用.
根据安全公司趋势科技(Trend Micro)最近的工作,它跟踪的水西格宾(也被称为8220帮派)正在利用CVE-2017-3506和第二个更新的甲骨文WebLogic漏洞(CVE-2023-21839)在目标主机上部署加密货币挖掘器.
Sunil Bharti写道:“Water Sigbin涉及利用CVE-2017-3506和CVE-2023-21839的活动突显了现代威胁参与者的适应能力.
”Trend Micro的高级威胁研究员表示:“使用复杂的混淆技术,如URL的十六进制编码、PowerShell和批处理脚本中的复杂编码、环境变量的使用,以及将恶意代码隐藏在看似良性的脚本中的分层混淆,表明Water Sigbin是一个能够隐藏其踪迹的威胁参与者,这使得检测和预防对安全团队来说更具挑战性.
”Trellix(前身为FireEye和McAfee Enterprise)此前评估,早在2017年,CVE-2017-3506也曾与其他三个WebLogic漏洞一起用于侵入Superion的Click2Gov服务器.
攻击者被认为将漏洞组合成一个利用链,最终从美国各地的县政府窃取支付卡信息.
这是攻击者滥用CVE-2017-3506的最早迹象,显然它对攻击者仍然具有足够的吸引力,促使美国政府采取行动.
Water Sigbin于2017年首次被发现,自那以来一直专注于密码劫持和密码窃取游戏,在此期间不断发展其间谍技术.
该组织以攻击Oracle WebLogic漏洞以及log4j、Atlassian融合漏洞和错误配置的Docker容器而闻名,可以使用它想使用的任何恶意软件感染主机.
有时是像XMRig这样的加密者,有时是像海啸一样的DDoS僵尸网络--它经常变化.
然而,在某些情况下,它的诡计保持不变.
在被观察到在早些时候的单独攻击中利用CVE-2017-3506后,趋势科技于2023年5月对该集团进行了调查.
该公司表示,尽管一些研究人员将该组织称为“脚本孩子”,但在Trend看来,这是一个“不容忽视的威胁”.
至于为什么这么多年后还没有应用必要的补丁,Spinnaker Support的首席技术官伊恩·桑德森告诉El Reg:“客户之所以不申请,是因为工作量太大,或者由于甲骨文的取消支持,他们运行的版本没有补丁可用.
”桑德森接着说,甲骨文以在认为有必要的情况下重新发布CVE补丁而闻名.
“CVE只发布了一次,但显然,七年后,它被发现没有解决这个问题,“他说.
“我怀疑甲骨文将在7月或10月发布一个特殊的补丁,或者在他们的下一个补丁周期中打补丁.”®.