# CVE-2017-3506 > [!high] Oracle WebLogic RCE - Explorado pelo 8220 Gang para Cryptomining > Vulnerabilidade de execução remota de código no Oracle WebLogic Server via deserialização XML maliciosa. Amplamente explorada por grupos de cryptomining como o **8220 Gang** contra servidores expostos na internet, incluindo alvos na América Latina. ## Visão Geral CVE-2017-3506 é uma vulnerabilidade de execução remota de código no Oracle WebLogic Server, afetando o componente Web Services. A falha permite que um atacante remoto não autenticado envie uma requisição HTTP especialmente construída contendo XML malicioso ao endpoint do WebLogic, resultando em execução de código arbitrário no servidor com os privilégios do processo WebLogic. O [[8220-gang|8220 Gang]], também conhecido como 8220 Mining Group, é um dos atores mais ativos na exploração de vulnerabilidades WebLogic para implantação de mineradores de criptomoedas. O grupo faz scanning massivo da internet em busca de instâncias WebLogic vulneráveis, e CVE-2017-3506 permanece em seu arsenal junto com variantes mais recentes. Servidores Oracle WebLogic são comuns em ambientes corporativos de grande porte no Brasil, especialmente em bancos, seguradoras e empresas de telecomúnicações que utilizam middleware Oracle. ## Como Funciona A vulnerabilidade reside no processamento de mensagens XML SOAP pelo componente `wls-wsat` do WebLogic. Ao enviar uma requisição POST para o endpoint `/wls-wsat/CoordinatorPortType`, um atacante pode injetar um elemento `<work:WorkContext>` contendo código Java serializado. O servidor processa o XML e executa o código sem verificação adequada, resultando em RCE. O exploit é trivial de executar com ferramentas públicas disponíveis no GitHub. ## TTPs Relacionados - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - vetor inicial - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - execução de comandos pós-exploit - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - cryptomining (8220 Gang) - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de miner > [!latam] Relevância para o Brasil > O 8220 Gang realiza scanning global e foi documentado comprometendo servidores Oracle WebLogic em organizações brasileiras para mineração de Monero. Empresas de médio e grande porte com deployments Oracle no Brasil são alvos frequentes. O custo do cryptomining não é apenas financeiro - servidores comprometidos frequentemente hospedam outros payloads como backdoors persistentes. ## Detecção e Defesa - Aplicar Critical Patch Update Oracle (abril 2017) - Bloquear ou remover endpoint `/wls-wsat/` se não utilizado - Monitorar requisições POST anômalas para endpoints SOAP do WebLogic - [[m1030-network-segmentation|M1030]] - isolar servidores WebLogic da internet pública ## Referências - [Oracle CPU April 2017](https://www.oracle.com/security-alerts/cpuapr2017.html) - [Unit 42 - 8220 Gang](https://unit42.paloaltonetworks.com/8220-gang-cloud-botnet-expands/) - [MITRE ATT&CK - T1190](https://attack.mitre.org/techniques/T1190/)