Компания Microsoft предупреждает, что недавно обнаруженную критическую уязвимость в Atlassian Confluence Data Center and Server с середины сентября эксплуатируют «правительственные» хакеры из китайской группировки Storm-0062 (она же DarkShadow и Oro0lxy).
Об этой уязвимости, получившей идентификатор CVE-2023-22515 (10 баллов из 10 возможных по шкале CVSS), стало известно 4 октября 2023 года, когда разработчики Atlassian раскрыли информацию о баге и сообщили, что его уже используют злоумышленники. Проблема позволяет удаленным атакующим создавать новые учетные записи администраторов Confluence и получать доступ к серверам.
Теперь аналитики Microsoft Threat Intelligence поделились дополнительной информацией об участии группировки Storm-0062 в эксплуатации CVE-2023-22515, а также раскрыли четыре IP-адреса атакующих.
Учитывая, что Atlassian выпустила патчи в начале октября, а Storm-0062 эксплуатировала эту уязвимость с 14 сентября 2023 года, у хакеров было почти три недели на создание новых учетных записей администратора на уязвимых эндпоинтах.
В свою очередь, аналитики компании Greynoise сообщают, что эксплуатация проблемы CVE-2023-22515 пока весьма ограничена. Однако это может измениться в скором времени, так как на этой неделе эксперты Rapid7 обнародовали детальную информацию об уязвимости и PoC-эксплоит для нее.
В своем отчете специалисты продемонстрировали, как злоумышленники могут обойти проверки безопасности, и какую команду cURL использовать для отправки HTTP-запроса на уязвимые конечные точки, чтобы это привело к созданию новой учетной записи администратора с паролем, известным злоумышленникам.
Также исследователи показали дополнительный запрос, который гарантирует, что другие пользователи не получат никаких уведомлений, что помогает скрыть компрометацию.
Эксперты напоминают, что Atlassian Confluence необходимо как можно скорее обновить до следующих версий:
• 8.3.3 или новее;
• 8.4.3 или новее;
• 8.5.2 (выпуск Long-Term Support) или новее.
При этом уязвимость CVE-2023-22515 не затрагивает Confluence Data Center и Server версий до 8.0.0, поэтому пользователям старых версий не нужно предпринимать никаких действий.