Plusieurs collectifs de ransomwares capitalisent activement sur les vulnérabilités récemment dévoilées dans Atlassian Confluence et Apache ActiveMQ., selon la société de cybersécurité Rapid7.
CVE-2023-22518, CVE-2023-22515
L’exploitation constatée de CVE-2023-22518 et CVE-2023-22515 dans divers environnements clients a entraîné le déploiement du ransomware Cerber, également connu sous le nom de C3RB3R. Les deux vulnérabilités, jugé critique, permettre aux acteurs malveillants de créer des comptes d'administrateur Confluence non autorisés, présentant de graves risques de perte de données.
Atlassian, répondre à la menace croissante, a mis à jour son avis en novembre 6, reconnaissant “exploits actifs et rapports d’acteurs menaçants utilisant des ransomwares.” La gravité de la faille a été révisée de 9.8 au score maximum de 10.0 à l'échelle CVSS. L'entreprise australienne attribue l'escalade à un changement dans la portée de l'attaque..
Les chaînes d'attaque impliquent une exploitation généralisée des serveurs vulnérables d'Atlassian Confluence accessibles sur Internet.. Cela conduit à la récupération d'une charge utile malveillante à partir d'un serveur distant, exécutant ensuite la charge utile du ransomware sur le serveur compromis. Notamment, Les données de GreyNoise révèlent que les tentatives d'exploitation proviennent d'adresses IP en France, Hong Kong, et la Russie.
CVE-2023-46604
Dans le même temps, Arctic Wolf Labs a révélé une grave faille d'exécution de code à distance activement exploitée (CVE-2023-46604, Note CVSS: 10.0) impactant Apache ActiveMQ. Cette vulnérabilité est exploitée pour fournir un cheval de Troie d'accès à distance basé sur Go nommé SparkRAT., avec une variante de ransomware ressemblant à TellYouThePass. La société de cybersécurité souligne le besoin urgent de mesures correctives rapides pour contrecarrer les tentatives d'exploitation de divers acteurs menaçants ayant des objectifs distincts..