Ondsindede skuespillere blev hurtigt grebet en nylig afsløret kritisk sikkerhedssårbarhed påvirker Atlassian Confluence Data Center og Confluence Server, lancerer aktive udnyttelseskampagner inden for blot tre dage efter offentliggørelsen.
Trusselskuespillere våbengør CVE-2023-22527
Identificeret som CVE-2023-22527 med en maksimal CVSS-score på 10.0, sårbarheden udgør en alvorlig trussel mod forældede versioner af softwaren, giver uautoriserede angribere muligheden for at opnå fjernkørsel af programkode på modtagelige installationer.
Fejlen tager sit præg på Confluence Data Center og Server 8 versioner udgivet før december 5, 2023, inklusive version 8.4.5. alarmerende, kort efter, at sårbarheden blev offentlig kendt, sikkerhedsforskere bemærkede en forbløffende 40,000 udnyttelsesforsøg rettet mod CVE-2023-22527 i naturen. Disse forsøg, dokumenteret allerede i januar 19, stammer fra over 600 unikke IP-adresser, som rapporteret af både Shadowserver Foundation og DFIR-rapporten.
Den nuværende aktivitetsbølge involverer primært “test af tilbagekaldsforsøg og 'whoami’ udførelse,” indikerer, at trusselsaktører er søger aktivt efter sårbare servere, potentielt forberedelse til efterfølgende udnyttelse.
Angreb kommer fra Rusland?
En betydelig del af angriberens IP-adresser stammer fra Rusland, med 22,674 forekomster, efterfulgt af Singapore, Hong Kong, USA., Porcelæn, Indien, Brasilien, Taiwan, Japan, og Ecuador.
Cybersikkerhedslandskabet er blevet yderligere kompliceret af afsløringen, at løbet 11,000 Atlassian-forekomster er tilgængelige over internettet fra januar 21, 2024. Men, i hvilket omfang disse tilfælde er sårbare over for CVE-2023-22527 er fortsat usikkert.
ProjectDiscovery-forskerne Rahul Maini og Harsh Jaiswal leverede en teknisk analyse af fejlen, understreger dens kritiske karakter. “CVE-2023-22527 er en kritisk sårbarhed i Atlassians Confluence Server og Data Center,” udtalte de. “Denne sårbarhed har potentialet til at tillade uautoriserede angribere at injicere OGNL-udtryk i Confluence-forekomsten, derved muliggør udførelse af vilkårlig kode og systemkommandoer.”
Den udviklende situation afslører, hvor presserende det er for organisationer straks at opdatere og sikre deres Atlassian Confluence-installationer for at mindske risikoen ved denne aktivt udnyttede sikkerhedssårbarhed.