Múltiples colectivos de ransomware están aprovechando activamente las vulnerabilidades reveladas recientemente en Atlassian Confluence y Apache ActiveMQ., según la firma de ciberseguridad Rapid7.
CVE-2023-22518, CVE-2023-22515
La explotación observada de CVE-2023-22518 y CVE-2023-22515 en varios entornos de clientes ha dado lugar a la implementación del ransomware Cerber, también conocido como C3RB3R. Ambas vulnerabilidades, considerado crítico, permitir que los actores de amenazas creen cuentas de administrador de Confluence no autorizadas, planteando graves riesgos de pérdida de datos.
atlassiano, respondiendo a la creciente amenaza, actualizó su aviso en noviembre 6, reconociendo “exploits activos e informes de actores de amenazas que utilizan ransomware.” La gravedad del defecto ha sido revisada desde 9.8 a la puntuación máxima de 10.0 en la escala CVSS. La empresa australiana atribuye la escalada a un cambio en el alcance del ataque..
Las cadenas de ataques implican una explotación generalizada de los servidores vulnerables de Atlassian Confluence accesibles en Internet.. Esto conduce a la recuperación de una carga útil maliciosa desde un servidor remoto., posteriormente ejecutar la carga útil del ransomware en el servidor comprometido. Notablemente, Los datos de GreyNoise revelan que los intentos de explotación se originan en direcciones IP en Francia, Hong Kong, y rusia.
CVE-2023-46604
Simultaneamente, Arctic Wolf Labs ha revelado un grave fallo de ejecución remota de código explotado activamente (CVE-2023-46604, Puntuación CVSS: 10.0) impactando a Apache ActiveMQ. Esta vulnerabilidad se está utilizando como arma para ofrecer un troyano de acceso remoto basado en Go llamado SparkRAT., junto con una variante de ransomware similar a TellYouThePass. La firma de ciberseguridad enfatiza la necesidad urgente de una solución rápida para frustrar los intentos de explotación de varios actores de amenazas con objetivos distintos..