Problemele, urmărite sub denumirile CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 și CVE-2023-36847, sunt găzduite în componenta J-Web a sistemului de operare Junos de pe dispozitivele Juniper SRX și EX Series. Acestea pot fi legate de către un atacator neautentificat, bazat pe rețea, pentru a executa cod arbitrar pe instalațiile vulnerabile.
În prezent, sunt mai mult de 8.200 de dispozitive Juniper care își au interfețele J-Web expuse pe internet, majoritatea acestora fiind din Coreea de Sud, SUA, Hong Kong, Indonezia, Turcia și India.
O altă vulnerabilitate exploatată de actorii amenințării este CVE-2023-32315, o eroare de traversare a căii cu gravitate înaltă în consola de administrare Openfire, care poate fi folosită pentru executarea de cod la distanță.
Actorii amenințării asociați cu botnetul de malware Kinsing au fost observați utilizând această eroare pentru a crea un utilizator administrator nou și a încărca un fișier JAR, care conține un fișier numit cmd.jsp care acționează ca o carcasă web pentru a descărca și executa malware-ul și un miner de criptomonede.
În semn că actorii amenințării sunt mereu în căutare de noi defecte pentru a le exploata, s-a observat o versiune actualizată a malware-ului botnet DreamBus, care profită de o vulnerabilitate de execuție de cod la distanță cu gravitate critică în serverele RocketMQ pentru a compromite dispozitivele.
CVE-2023-33246, așa cum este catalogată problema, este o eroare de execuție de cod la distanță care afectează versiunile RocketMQ 5.1.0 și anterioare, permițând unui atacator neautentificat să ruleze comenzi cu același nivel de acces ca al procesului de utilizator al sistemului.
DreamBus este un malware bazat pe Linux care este o variantă a SystemdMiner și este creat pentru a exploata criptomoneda pe sistemele infectate. Activ din 2019, a fost cunoscut pentru propagarea sa prin exploatarea specifică a vulnerabilităților de execuție de cod la distanță.