Aquí hay un ejemplo de una vulnerabilidad explotada activamente que ahora usan los operadores de ransomware: CVE-2022-26134. Esta es, de hecho, la vulnerabilidad crítica de ejecución remota de código no autenticado de Atlassian en su Confluence Server and Data Center..
La vulnerabilidad garantiza el acceso inicial a las redes corporativas y permite a los actores de amenazas no autenticados hacerse cargo de los servidores sin parches de forma remota.. Esto se hace creando nuevas cuentas administrativas y posteriormente ejecutando código arbitrario..
Quién está explotando CVE-2022-26134?
Ante todo, cabe mencionar que los códigos de prueba de concepto surgieron en línea poco después de que Atlassian lanzara un parche. Los exploits PoC generalmente hacen que la explotación sea aún más fácil, y varios operadores de botnet iniciaron numerosos ataques de criptominería basados en la vulnerabilidad. Ahora, parece que los operadores de ransomware están lanzando ataques, demasiado.
Los investigadores de Prodaft descubrieron que los afiliados de AvosLocker ransomware-as-a-service el grupo está explotando la falla. Los atacantes están apuntando sin parchear, Servidores de Confluence expuestos a Internet que infectan automáticamente a numerosas víctimas a gran escala.
Otro grupo de ransomware que usa el exploit es Cerber2021 ransomware. En general, la aparición de exploits PoC corresponde al aumento de ataques exitosos de ransomware Cerber, según Microsoft y otros investigadores de ciberseguridad.
¿Qué es la confluencia de Atlassian??
Atlassian Confluence es una plataforma de colaboración escrita principalmente en Java y que se ejecuta en un servidor de aplicaciones Apache Tomcat incluido.. La plataforma ayuda a los usuarios a crear contenido utilizando espacios, páginas, y blogs que otros usuarios pueden comentar y editar.
Para evitar cualquier ataque, se recomienda encarecidamente actualizar a una versión fija de Confluence. Si por algún motivo no es posible aplicar parches inmediatamente, un Solución También está disponible.