Bilgisayar korsanları, şu anda hiçbir düzeltme olmadan, web mermileri kurmak için CVE-2022-26134 olarak izlenen yeni bir Atlassian Confluence sıfır günü güvenlik açığından aktif olarak yararlanıyor.
Bugün Atlassian, CVE-2022-26134'ün hem Confluence Server hem de Veri Merkezinde izlenen kritik kimlik doğrulanmamış, uzaktan kod yürütme güvenlik açığı olduğunu açıklayan bir güvenlik danışmanlığı yayınladı.
Atlassian, Confluence Server 7.18.0'daki güvenlik açığını doğruladıklarını ve Confluence Server ve Veri Merkezi 7.4.0 ve üstü de savunmasız olduğuna inandıklarını söylüyor.
Danışma, tehdit aktörlerinin Confluence Server 7.18.0'ı aktif olarak kullandığı konusunda uyarıyor.
Yama olmadığı için Atlassian, müşterilere sunucularına bu iki yöntemden biri tarafından erişilemez hale getirmelerini söylüyor:
Confluence sunucusunu ve veri merkezi örneklerini internetten kısıtlamak.
Confluence Server ve Veri Merkezi Örneklerini devre dışı bırakma.
Bu güvenlik açığını azaltmanın başka yolu yoktur.
Atlassian Cloud'u (Atlassian.net aracılığıyla erişilebilir) kullanan kuruluşlar bu güvenlik açığından etkilenmez.
Atlassian aktif olarak bir yama üzerinde çalışıyor ve mevcut hale geldiğinde danışmanlarında daha fazla bilgi yayınlayacak.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu sıfır gününü 'bilinen sömürülen güvenlik açıkları kataloğuna' ekledi ve federal ajansların yarın 3 Haziran'a kadar tüm internet trafiğini Confluence sunucularına engellemesini gerektiriyor.
GÜNCELLEME 6/3/22: Atlassian, güvenlik açığını çözen ve aşağıdaki ifadeyi BleepingComputer ile paylaşan güvenlik güncellemeleri yayınladı.
"3 Haziran 2022'de Güvenlik Danışmanlığını Confluence Veri Merkezi ve Sunucu Ürünleri düzeltmesi ile güncelledik. Lütfen daha fazla bilgi ve talimat için danışmanlığa bakın: https://confluence.atlassian.com/doc/confluence-security-dvisory -2022-06-02-1130377146.html "
Koordineli bir açıklamada, siber güvenlik firması Volexity, güvenlik açığının, olay yanıtı yaparken Anma Günü hafta sonu boyunca keşfedildiğini açıkladı.
Soruşturmayı yaptıktan sonra Volexity, en son Confluence Server sürümüne karşı istismar üretebilir ve 31 Mayıs'ta Atlassian'a açıklayabilir.
Volexity'nin bir blog yayınını, "Toplanan verilerin kapsamlı bir incelemesinden sonra Volexity, uzaktan kod yürütülmesini sağlamak için bir istismar başlatan bir saldırgandan kaynaklanan sunucu uzlaşmasını belirleyebildi."
"Volexity daha sonra, Confluence Server'ın tamamen güncel versiyonlarını etkileyen sıfır gün güvenlik açığını kullanan ve tanımlayan yeniden yaratabildi."
Volexity tarafından analiz edilen ihlalde, tehdit aktörlerinin tehlikeye atılan sunucudaki komutları uzaktan yürütmesine izin veren bir JSP web kabuğu olan Beheri Yüklü Tehdit Aktörleri.
Tehdit aktörleri daha sonra China Chopper web kabuğunu ve basit bir dosya yükleme aracını yedekleme olarak yüklemek için Beheri kullandı.
Volexity'nin araştırmasından, tehdit aktörleri Confluence sunucusunun kullanıcı tablolarını attı, ek web kabukları yazdı ve algılamadan kaçmak için erişim günlüklerini değiştirdi.
Volexity, Çin'den gelen çoklu tehdit aktörlerinin bu istismarları kullandığına inandıklarını söylüyor.
Yama bulunmadığından, Volexity, Confluence yöneticilerinin Atlassian bir düzeltme yayınlayana kadar sunucularını internetten ayırmasını önerir.
Volexity, Confluence sunucularındaki web kabuğu etkinliğini tanımlamak için saldırıların ve Yara kurallarının arkasındaki IP adreslerinin bir listesini yayınladı.
Güncelleme 6/3/22: Yayınlanan güvenlik güncellemeleri hakkında bilgi eklendi
Atlassian Confluence RCE Bug, Patch Now için yayınlanan istismar
Atlassian, saldırılarda geniş çapta sömürülen Confluence Zero-Day'i düzeltiyor
Google Chrome Acil Durum Güncellemesi Saldırılarda Kullanılan Sıfır Gününü Düzeltmeler
Microsoft Protokol Kabusuna Yeni Windows Arama Zero Day Eklendi
CISA, siber saldırılarda kullanılan hataların listesine 41 güvenlik açığı ekler
Kaynak: Bleeping Computer