hổng có định danh CVE-2017-3506 (điểm CVSS: 7,4), liên quan đến lỗi OS Command Injection có thể bị khai thác để giành quyền truy cập trái phép và chiếm toàn quyền kiểm soát trên các máy chủ bị ảnh hưởng. CISA cho biết: “Máy chủ Oracle WebLogic, một sản phẩm trong bộ Fusion Middleware, tồn tại OS Command Injection cho phép kẻ tấn công thực thi mã tùy ý thông qua yêu cầu (request) HTTP có chứa tài liệu XML độc hại”. Mặc dù, CISA không tiết lộ bản chất của các cuộc tấn công khai thác lỗ hổng, nhưng nhóm tin tặc khai thác tiền điện tử 8220 Gang (hay Water Sigbin) từng được biết đến với việc lạm dụng lỗ hổng Oracle WebLogic vào đầu năm ngoái để xâm phạm các thiết bị chưa được vá và thêm chúng vào mạng lưới botnet khai thác tiền điện tử. Theo một báo cáo gần đây do Trend Micro công bố, 8220 Gang đã lạm dụng các lỗ hổng trong máy chủ Oracle WebLogic (CVE-2017-3506 và CVE-2023-21839) để khởi chạy một công cụ khai thác tiền điện tử trong bộ nhớ bằng shell hoặc tập lệnh PowerShell tùy thuộc vào hệ điều hành được nhắm mục tiêu. Nhà nghiên cứu bảo mật Sunil Bharti cho biết: “Nhóm này đã sử dụng các kỹ thuật che giấu, chẳng hạn như mã hóa (encode) thập lục phân các URL và sử dụng HTTP qua cổng 443, cho phép nó lén lút tải xuống các payload (tệp độc hại). Tập lệnh PowerShell và tệp batch sử dụng các hàm mã hóa phức tạp, sử dụng các biến môi trường để ẩn dấu mã độc bên trong các th&