Ransomware-grupper udnytter CVE-2023-22518, CVE-2023-22515

Flere ransomware-kollektiver udnytter de nyligt afslørede sårbarheder i Atlassian Confluence og Apache ActiveMQ, ifølge cybersikkerhedsfirmaet Rapid7.

CVE-2023-22518, CVE-2023-22515

Den observerede udnyttelse af CVE-2023-22518 og CVE-2023-22515 i forskellige kundemiljøer har resulteret i udrulning af Cerber ransomware, også kendt som C3RB3R. Begge sårbarheder, anses for kritisk, gøre det muligt for trusselsaktører at oprette uautoriserede Confluence-administratorkonti, udgør en alvorlig risiko for tab af data.

Atlassian, reagere på den eskalerende trussel, opdaterede sin rådgivning i november 6, anerkendende “aktive udnyttelser og rapporter om trusselsaktører, der bruger ransomware.” Sværhedsgraden af fejlen er blevet revideret fra 9.8 til den maksimale score på 10.0 på CVSS skala. Det australske selskab tilskriver eskaleringen til et skift i angrebets omfang.

Angrebskæderne involverer udbredt udnyttelse af sårbare Atlassian Confluence-servere, der er tilgængelige på internettet. Dette fører til hentning af en ondsindet nyttelast fra en fjernserver, efterfølgende eksekvering af ransomware-nyttelasten på den kompromitterede server. Især, GreyNoises data afslører, at udnyttelsesforsøg stammer fra IP-adresser i Frankrig, Hong Kong, og Rusland.

CVE-2023-46604

Samtidigt, Arctic Wolf Labs har afsløret en aktivt udnyttet alvorlig fjernudførelsesfejl (CVE-2023-46604, CVSS-score: 10.0) påvirker Apache ActiveMQ. Denne sårbarhed bliver bevæbnet til at levere en Go-baseret fjernadgangstrojan ved navn SparkRAT, sammen med en ransomware-variant, der ligner TellYouThePass. Cybersikkerhedsfirmaet understreger det presserende behov for hurtig afhjælpning for at modvirke udnyttelsesforsøg fra forskellige trusselsaktører med særskilte mål.