Mehrere Ransomware-Kollektive nutzen aktiv die kürzlich aufgedeckten Schwachstellen in Atlassian Confluence und Apache ActiveMQ aus, Laut der Cybersicherheitsfirma Rapid7.
CVE-2023-22518, CVE-2023-22515
Die beobachtete Ausbeutung von CVE-2023-22518 und CVE-2023-22515 in verschiedenen Kundenumgebungen hat zur Verbreitung der Cerber-Ransomware geführt, auch bekannt als C3RB3R. Beide Schwachstellen, als kritisch eingestuft, Ermöglichen Sie es Bedrohungsakteuren, nicht autorisierte Confluence-Administratorkonten zu erstellen, Es besteht ein erhebliches Risiko eines Datenverlusts.
Atlassian, Reaktion auf die eskalierende Bedrohung, hat seine Empfehlung im November aktualisiert 6, anerkennend “aktive Exploits und Berichte über Bedrohungsakteure, die Ransomware verwenden.” Der Schweregrad des Fehlers wurde überarbeitet 9.8 bis zur maximalen Punktzahl von 10.0 auf der Skala CVSS-. Das australische Unternehmen führt die Eskalation auf eine Verschiebung des Ausmaßes des Angriffs zurück.
Die Angriffsketten beinhalten eine weit verbreitete Ausnutzung anfälliger Atlassian Confluence-Server, auf die über das Internet zugegriffen werden kann. Dies führt zum Abruf einer bösartigen Nutzlast von einem Remote-Server, Anschließend wird die Ransomware-Payload auf dem kompromittierten Server ausgeführt. Vor allem, Die Daten von GreyNoise zeigen, dass Ausnutzungsversuche von IP-Adressen in Frankreich ausgehen, Hongkong, und Russland.
CVE-2023-46604
Gleichzeitig, Arctic Wolf Labs hat einen aktiv ausgenutzten schwerwiegenden Fehler bei der Remotecodeausführung offengelegt (CVE-2023-46604, CVSS-Score: 10.0) Auswirkungen auf Apache ActiveMQ. Diese Schwachstelle wird als Waffe genutzt, um einen Go-basierten Fernzugriffstrojaner namens SparkRAT zu verbreiten, zusammen mit einer Ransomware-Variante, die TellYouThePass ähnelt. Das Cybersicherheitsunternehmen betont die dringende Notwendigkeit einer schnellen Abhilfe, um Ausnutzungsversuche verschiedener Bedrohungsakteure mit unterschiedlichen Zielen zu vereiteln.