Saldırganlar, Cerber fidye yazılımlarını kullanarak kurbanların dosyalarını şifrelemek için yakın zamanda yamalı ve kritik bir şiddet Atlassian Confluence Kimlik Doğrulama Bypass kusurundan yararlanıyor.
Atlassian tarafından uygunsuz bir yetkilendirme güvenlik açığı olarak tanımlanan ve CVE-2023-22518 olarak izlenen bu hata 9.1/10 önem derecesi aldı ve Confluence Veri Merkezi ve Confluence Server yazılımının tüm sürümlerini etkiler.
Atlassian geçen Salı günü güvenlik güncellemeleri yayınladı ve kusurun verileri silmek için de kullanılabileceği için tüm savunmasız örnekleri yamalamak için yöneticiler uyardı.
Atlassian'ın Baş Bilgi Güvenliği Görevlisi (CISO) Bala Sathiamurthy, "Sürekli güvenlik değerlendirme süreçlerimizin bir parçası olarak, Confluence Veri Merkezi ve sunucu müşterilerinin, kimlik doğrulanmamış bir saldırgan tarafından kullanılması durumunda önemli veri kaybına karşı savunmasız olduklarını keşfettik." Dedi.
Diyerek şöyle devam etti: "Şu anda aktif sömürü raporu yoktur; ancak müşteriler örneklerini korumak için derhal harekete geçmelidir."
Şirket, müşterilere bir kavram kanıtı istismarının çevrimiçi olarak mevcut olduğunu, ancak devam eden bir sömürü kanıtı olmamasına rağmen, bir kavram kanıtı kullanılabilir olduğunu uyardı.
Sistemlerini yamalayamayanlara, kapatılmamış örnekleri yedeklemek ve güvence altına alınana kadar internet erişimini engellemek de dahil olmak üzere hafifletme önlemleri uygulamaya çağırıldı.
Ayrıca, danışmanlıkta açıklandığı gibi///confluence/web-inf/web.xml'yi değiştirerek ve savunmasız örnekleri yeniden başlatarak bilinen saldırı vektörlerini kaldırma seçeneği de vardır.
Tehdit izleme hizmeti Shadowserver'dan elde edilen verilere göre, şu anda çevrimiçi olarak maruz kalan 24.000'den fazla konflüence örneği var, ancak kaçının CVE-2023-22518 saldırılarına karşı savunmasız olduğunu söylemenin bir yolu yok.
Atlassian, tehdit aktörlerinin POC istismarının serbest bırakılmasından sonra saldırıları zaten hedeflediklerine dikkat etmek için Cuma günü danışmanlığını güncelledi.
Şirket, "Aktif bir istismarın müşteri raporu aldık. Müşteriler örneklerini korumak için derhal harekete geçmeli. Yamayı zaten uyguladıysanız, başka bir işlem gerekmez." Dedi.
Hafta sonu Tehdit İstihbarat Şirketi Greynoise, 5 Kasım Pazar günü başlayarak CVE-2023-22518 yaygın sömürü konusunda uyardı.
Siber güvenlik şirketi Rapid7 ayrıca, daha önce sıfır günü olarak sömürülen CVE-2023-22518 Auth Bypass'ı ve daha eski bir kritik ayrıcalık artışını (CVE-2023-22515) hedefleyen istismarlarla internete maruz kalan Atlassian Confluence sunucularına yönelik saldırıları da gözlemledi.
Şirket, "5 Kasım 2023 itibariyle, Rapid7 Yönetilen Tespit ve Yanıt (MDR), fidye yazılımı dağıtım da dahil olmak üzere birçok müşteri ortamında Atlassian izdihamının sömürülmesini gözlemliyor." Dedi.
"Birden fazla saldırı zincirinde Rapid7, 193.43.72'de barındırılan kötü amaçlı bir yük indirmek için sömürü sonrası komuta yürütmesini gözlemledi. sömürülen Confluence sunucusunda dağıtım. "
CISA, FBI ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) geçen ay ortak bir danışma belgesi yayınladı ve ağ yöneticilerini aktif olarak sömürülen CVE-2023-22515 ayrıcalık artış hatasına karşı hemen güvence altına almaya çağırdı. Bir Microsoft raporuna göre, en az 14 Eylül'den beri aktif sömürü altında.
Cerber fidye yazılımı (diğer adıyla CerberImposter), iki yıl önce Atlassian Confluence sunucularını hedefleyen saldırılara, daha önce kripto-minerler yüklemek için sömürülen bir uzaktan kod yürütme güvenlik açığı (CVE-2021-26084) kullanılarak konuşlandırıldı.
Atlassian, Confluence Veri Silinme hatası için istismar konusunda uyarıyor, yama al
Atlassian, veri kaybına yol açan kritik konfluence kusurunu uyarıyor
Ukraynalı aktivistler Trigona fidye yazılımı çetesini hacklemek, sunucuları silme
CISA, FBI yöneticileri hemen Atlassian Confluence Patch'e çağırıyor
Microsoft: Eylül ayından bu yana Confluence Zero Day'den yararlanan eyalet hackerları
Kaynak: Bleeping Computer