Böswillige Akteure griffen schnell zu eine kürzlich aufgedeckte kritische Sicherheitslücke Auswirkungen auf Atlassian Confluence Data Center und Confluence Server, Innerhalb von nur drei Tagen nach seiner Veröffentlichung wurden aktive Ausbeutungskampagnen gestartet.
Bedrohungsakteure nutzen CVE-2023-22527 als Waffe
Identifiziert als CVE-2023-22527 mit einem maximalen CVSS-Score von 10.0, Die Sicherheitslücke stellt eine ernsthafte Bedrohung für veraltete Versionen der Software dar, Bietet nicht authentifizierten Angreifern die Möglichkeit, etwas zu erreichen Remotecodeausführung bei anfälligen Installationen.
Der Fehler fordert seinen Tribut vom Confluence Data Center und Server 8 Versionen, die vor Dezember veröffentlicht wurden 5, 2023, inklusive Version 8.4.5. Erschreckend, kurz nachdem die Sicherheitslücke öffentlich bekannt wurde, Sicherheitsforscher stellten Erstaunliches fest 40,000 Ausnutzungsversuche gegen CVE-2023-22527 in freier Wildbahn. Diese Versuche, bereits im Januar dokumentiert 19, stammt von über 600 eindeutige IP-Adressen, wie sowohl von der Shadowserver Foundation als auch vom DFIR Report berichtet.
Die aktuelle Aktivitätswelle betrifft vor allem “Testen von Rückrufversuchen und „whoami“.’ Ausführung,” Dies weist darauf hin, dass es sich um Bedrohungsakteure handelt Aktive Suche nach anfälligen Servern, möglicherweise Vorbereitung für eine spätere Ausbeutung.
Aus Russland kommen Angriffe?
Ein erheblicher Teil der IP-Adressen der Angreifer stammt aus Russland, mit 22,674 Instanzen, gefolgt von Singapur, Hongkong, die US-, China, Indien, Brasilien, Taiwan, Japan, und Ecuador.
Die Cybersicherheitslandschaft wurde durch die Enthüllung noch komplizierter über 11,000 Atlassian-Instanzen sind ab Januar über das Internet zugänglich 21, 2024. Jedoch, Inwieweit diese Instanzen für CVE-2023-22527 anfällig sind, bleibt ungewiss.
Die ProjectDiscovery-Forscher Rahul Maini und Harsh Jaiswal lieferten eine technische Analyse des Fehlers, Betonung seiner kritischen Natur. “CVE-2023-22527 ist eine kritische Schwachstelle im Confluence Server und Data Center von Atlassian,” sie erklärten. “Diese Schwachstelle kann es nicht authentifizierten Angreifern ermöglichen, OGNL-Ausdrücke in die Confluence-Instanz einzuschleusen, Dadurch ist die Ausführung beliebigen Codes und Systembefehlen möglich.”
Die sich entwickelnde Situation zeigt, wie dringend es für Unternehmen ist, ihre Atlassian Confluence-Installationen umgehend zu aktualisieren und zu sichern, um das Risiko dieser aktiv ausgenutzten Sicherheitslücke zu mindern.