По словам ИБ-специалистов, критическая уязвимость в Atlassian Confluence, которая позволяет уничтожать данные на уязвимых серверах (CVE-2023-22518), уже активно используется злоумышленниками для установки программ-вымогателей.

Напомним, что эта проблема получила идентификатор CVE-2023-22518 (9,1 балла из 10 по шкале CVSS) и затрагивает все версии Confluence Data Center и Confluence Server.

Уязвимость связана с некорректной авторизацией, и еще на прошлой неделе разработчики предупреждали, что злоумышленники могут использовать баг уничтожения данных на уязвимых серверах. К тому же вскоре в компании сообщили, что для уязвимости уже существует общедоступный эксплоит, призывая всех как можно скорее установить патчи.

Согласно сообщениям ИБ-исследователей, «чтобы перезагрузить сервер и получить доступ администратора достаточно всего одного запроса».

Уязвимость была устранена в составе Confluence Data Center и Server версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1.

Как теперь сообщают аналитики из компании GreyNoise, почти сразу после появления эксплоита, 5 ноября 2023 года, злоумышленники начали эксплуатировать свежий баг в атаках.

Компания Rapid7 также сообщает об атаках на уязвимые серверы Atlassian Confluence с использованием эксплоитов для CVE-2023-22518 и более старый уязвимости повышения привилегий (CVE-2023-22515), ранее уже использовавшейся хакерами как 0-day.

«По состоянию на 5 ноября 2023 года Rapid7 Managed Detection and Response (MDR)  зафиксировала эксплуатацию Atlassian Confluence в нескольких клиентских средах, в том числе для развертывания программ-вымогателей, — предупреждают в компании. — В нескольких цепочках атак Rapid7 наблюдала выполнение команд после эксплуатации для загрузки вредоносной полезной нагрузки, размещенной по адресу 193.43.72[.]11 или 193.176.179[.]41, что, в случае успеха, приводило к развертыванию программы-вымогателя Cerber на атакуемом сервере Confluence».

По данным специалистов ShadowServer, в настоящее время в сети доступны более 24 000 экземпляров Confluence, хотя невозможно с уверенность сказать, сколько из них уязвимы перед проблемой CVE-2023-22518.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии