Κρίσιμο σφάλμα Atlassian Confluence που χρησιμοποιείται σε επιθέσεις ransomware Cerber

By

Marizas Dimitris

On

Νοέ 6, 2023

Οι επι

τι

θέμενοι εκμεταλλεύονται ένα ελάττωμα παράκαμψης ελέγχου ταυτότητας Atlassian Confluence που επιδιορθώθηκε πρόσφατα και κρίσιμης σοβαρότητας για να κρυπτογραφήσουν τα αρχεία των θυμάτων χρησιμοποιώντας

ransomware

Cerber.

Περιγράφεται από την Atlassian ως ακατάλληλη ευπάθεια εξουσιοδότησης και παρακολουθείται ως CVE-2023-22518, αυτό το σφάλμα έλαβε βαθμολογία σοβαρότητας 9,1/10 και επηρεάζει όλες τις εκδόσεις του λογισμικού Confluence

Data Center

και Confluence Server.

Η Atlassian κυκλοφόρησε ενημερώσεις ασφαλείας την περασμένη Τρίτη, προειδοποιώντας τους διαχειριστές να επιδιορθώσουν αμέσως όλες τις ευάλωτες εμφανίσεις, καθώς το ελάττωμα θα μπορούσε επίσης να χρησιμοποιηθεί για τη διαγραφή δεδομένων.

“Στο πλαίσιο των διαδικασιών συνεχούς αξιολόγησης ασφαλείας μας, ανακαλύψαμε ότι οι πελάτες του Κέντρου Δεδομένων και του Διακομιστή Confluence είναι ευάλωτοι σε σημαντική απώλεια δεδομένων, εάν εκμεταλλευτούν έναν εισβολέα χωρίς έλεγχο ταυτότητας.”

είπε

Bala Sathiamurthy, Chief Information Security Officer (CISO) της Atlassian.

“Δεν υπάρχουν αναφορές για ενεργή εκμετάλλευση αυτή τη στιγμή, ωστόσο, οι πελάτες πρέπει να λάβουν άμεσα μέτρα για να προστατεύσουν τις περιπτώσεις τους.”

Η εταιρεία εξέδωσε μια δεύτερη προειδοποίηση λίγες μέρες αργότερα, ειδοποιώντας τους πελάτες ότι ένα proof-of-concept exploit ήταν ήδη διαθέσιμο στο διαδίκτυο, αν και δεν είχε στοιχεία για συνεχιζόμενη εκμετάλλευση.

Όσοι δεν μπορούν να επιδιορθώσουν τα συστήματά τους κλήθηκαν να εφαρμόσουν μέτρα μετριασμού, μεταξύ των οποίων

δημιουργία αντιγράφων ασφαλείας μη επιδιορθωμένων παρουσιών

και αποκλεισμός της πρόσβασης στο Διαδίκτυο σε μη επιδιορθωμένους διακομιστές μέχρι να ασφαλιστούν.

Υπάρχει επίσης η επιλογή να αφαιρέσετε γνωστά διανύσματα επίθεσης τροποποιώντας το

/

/confluence/WEB-INF/web.xml

όπως και

εξηγείται στη συμβουλευτική

και

επα

νεκκίνηση των ευάλωτων περιπτώσεων.

Σύμφωνα με δεδομένα από την υπηρεσία παρακολούθησης απειλών ShadowServer, υπάρχουν αυτή τη στιγμή

περισσότερες από 24.000 περιπτώσεις Confluence εκτίθενται στο διαδίκτυο

αν και δεν υπάρχει τρόπος να πούμε πόσοι είναι ευάλωτοι σε επιθέσεις CVE-2023-22518.

Κρίσιμο σφάλμα Atlassian Confluence που χρησιμοποιείται σε επιθέσεις ransomware Cerber, Κρίσιμο σφάλμα Atlassian Confluence που χρησιμοποιείται σε επιθέσεις ransomware Cerber, TechWar.gr — *Παρουσίες Atlassian Confluence που εκτίθενται στο Διαδίκτυο (Shadowserver)*

Αξιοποίηση σε επιθέσεις ransomware

Η Atlassian ενημέρωσε τη συμβουλή της την Παρασκευή για να προειδοποιήσει ότι οι φορείς απειλών στοχεύουν ήδη το ελάττωμα στις επιθέσεις μετά την κυκλοφορία του PoC exploit.

“Λάβαμε μια αναφορά πελάτη για μια ενεργή εκμετάλλευση. Οι πελάτες πρέπει να λάβουν άμεσα μέτρα για να προστατεύσουν τις παρουσίες τους. Εάν έχετε ήδη εφαρμόσει την

ενημέρωση

κώδικα, δεν απαιτείται περαιτέρω ενέργεια”, δήλωσε η εταιρεία.

Το Σαββατοκύριακο, η εταιρεία πληροφοριών απειλών GreyNoise

προειδοποίησε

του CVE-2023-22518 ευρείας εκμετάλλευσης

ξεκινώντας την Κυριακή

5 Νοεμβρίου.

Η εταιρεία κυβερνοασφάλειας Rapid7 παρατήρησε επίσης επιθέσεις εναντίον διακομιστών Atlassian Confluence που εκτίθενται στο Διαδίκτυο με εκμεταλλεύσεις που στοχεύουν την παράκαμψη ελέγχου ταυτότητας CVE-2023-22518 και μια παλαιότερη κρίσιμη κλιμάκωση προνομίων (CVE-2023-22515) που προηγουμένως εκμεταλλευόταν ως μηδενική ημέρα.

«Από τις 5 Νοεμβρίου 2023, το Rapid7 Managed Detection and Response (MDR) παρατηρεί την εκμετάλλευση του Atlassian Confluence σε πολλαπλά περιβάλλοντα πελατών, συμπεριλαμβανομένης της ανάπτυξης ransomware», δήλωσε η εταιρεία.

“Σε πολλαπλές αλυσίδες επίθεσης, το Rapid7 παρατήρησε την εκτέλεση εντολών μετά την εκμετάλλευση για λήψη ενός κακόβουλου ωφέλιμου φορτίου που φιλοξενείται στο 193.43.72[.]11 ή/και 193.176.179[.]41, το οποίο, εάν ήταν επιτυχές, οδήγησε στην ανάπτυξη ενός συστήματος ransomware Cerber στον εκμεταλλευόμενο διακομιστή Confluence.”

Η CISA, το FBI και το Multi-State Information Sharing and Analysis Center (MS-ISAC) εξέδωσαν μια κοινή συμβουλευτική πρόταση τον περασμένο μήνα, καλώντας τους διαχειριστές του δικτύου να ασφαλίσουν αμέσως τους διακομιστές Atlassian Confluence έναντι του ενεργά αξιοποιημένου σφάλματος κλιμάκωσης προνομίων CVE-2023-22515, το οποίο βρίσκεται υπό ενεργή εκμετάλλευση τουλάχιστον από τις 14 Σεπτεμβρίου, σύμφωνα με έκθεση της Microsoft.

Το Cerber ransomware (γνωστός και ως CerberImposter) αναπτύχθηκε επίσης σε επιθέσεις που στόχευαν διακομιστές Atlassian Confluence πριν από δύο χρόνια χρησιμοποιώντας μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (CVE-2021-26084), ένα σφάλμα που χρησιμοποιήθηκε στο παρελθόν για την εγκατάσταση crypto-miners.

VIA:

bleepingcomputer.com

Παρόμοια άρθρα