Voici un exemple d'une vulnérabilité activement exploitée qui est maintenant utilisée par les opérateurs de ransomware: CVE-2022-26134. Il s'agit en effet de la vulnérabilité critique d'exécution de code à distance non authentifiée d'Atlassian dans son serveur Confluence et son centre de données..
La vulnérabilité garantit l'accès initial aux réseaux d'entreprise et permet aux pirates non authentifiés de prendre le contrôle à distance des serveurs non corrigés.. Cela se fait en créant de nouveaux comptes administratifs et en exécutant ensuite du code arbitraire.
Qui exploite CVE-2022-26134?
Tout d'abord, il convient de mentionner que les codes de preuve de concept sont apparus en ligne peu de temps après qu'Atlassian a publié un correctif. Les exploits PoC rendent généralement l'exploitation encore plus facile, et un certain nombre d'opérateurs de botnet ont lancé de nombreuses attaques de cryptominage basées sur la vulnérabilité. Maintenant, il semble que les opérateurs de ransomwares lancent des attaques, trop.
Les chercheurs de Prodaft ont découvert que les filiales d'AvosLocker ransomware-as-a-service groupe exploite la faille. Les attaquants ciblent sans patch, Serveurs Confluence exposés à Internet infectant automatiquement de nombreuses victimes à grande échelle.
Un autre groupe de rançongiciels utilisant l'exploit est le rançongiciel Cerber2021. Global, l'émergence d'exploits PoC correspond à l'augmentation des attaques réussies du rançongiciel Cerber, selon Microsoft et d'autres chercheurs en cybersécurité.
Qu'est-ce que la confluence Atlassian?
Atlassian Confluence est une plate-forme de collaboration écrite principalement en Java et s'exécutant sur un serveur d'applications Apache Tomcat fourni. La plate-forme aide les utilisateurs à créer du contenu à l'aide d'espaces, pages, et des blogs que d'autres utilisateurs peuvent commenter et modifier.
Pour éviter toute attaque, il est fortement recommandé de passer à une version fixe de Confluence. Si le correctif n'est pas immédiatement possible pour une raison quelconque, une solution de contournement est également disponible.