Для критической уязвимости CVE-2022-26134, затрагивающей серверы Atlassian Confluence и Data Center, появились PoC-эксплоиты. Этот баг позволяет неаутентифицированным злоумышленникам создавать новые учетные записи администратора, выполнять команды и захватить чужой сервер.

Напомню, что уязвимость на прошлой неделе обнаружили эксперты компании Volexity. CVE-2022-26134 представляет собой RCE-уязвимость, для эксплуатации которой не требуется аутентификация и используются OGNL-инжекты. Разработчики Atlassian сообщали, что уязвимость подтверждена в Confluence Server 7.18.0, а также уязвимы Confluence Server и Data Center 7.4.0 и выше.

В настоящее время для бага уже вышли патчи. Если установка исправлений невозможна, из-за серьезности проблемы рекомендуется либо ограничить доступ к Confluence Server и Data Center из интернета, либо вовсе временно их отключить.

Уже на прошлой неделе сообщалось об атаках на свежий баг. Аналитики писали, что за этими атаками стоят многочисленные злоумышленники из Китая. Теперь количество атак увеличилось, а в конце прошлой недели и вовсе ​​был опубликован PoC-эксплот, который широко распространился в сети за выходные.

Распространившиеся в сети эксплоиты позволяют с легкостью создавать новые учетные записи администраторов, принудительно запрашивать DNS, собирать информацию о системе и создавать реверс-шеллы.

Как сообщил в Twitter Эндрю Моррис, глава ИБ-компании GreyNoise, сначала эксплуатацией CVE-2022-26134 занимались 23 уникальных IP-адреса, а теперь их количество выросло почти в десять раз, достигнув 211 уникальных IP-адресов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии