悪意のある攻撃者は迅速に摘発される 最近明らかになった重大なセキュリティ脆弱性 Atlassian Confluence Data Center および Confluence Server に影響を与える, 公開からわずか 3 日以内に積極的な搾取キャンペーンを開始.
CVE-2023-22527 を武器にする脅威アクター
CVE-2023-22527 として識別され、最大 CVSS スコアは次のとおりです。 10.0, この脆弱性は、古いバージョンのソフトウェアに対して深刻な脅威をもたらします。, 認証されていない攻撃者に次のことを行う能力を提供します。 リモートコード実行 影響を受けやすい設置物について.
この欠陥は Confluence データセンターとサーバーに被害を及ぼします 8 12 月より前にリリースされたバージョン 5, 2023, バージョンも含めて 8.4.5. 驚くべきことに, 脆弱性が公になった直後, セキュリティ研究者は驚くべきことを指摘しました 40,000 CVE-2023-22527 をターゲットとした悪用の試みが実際に行われています. こういった試みは, 1月にはすでに文書化されている 19, 上から生まれた 600 一意の IP アドレス, Shadowserver Foundation と DFIR Report の両方で報告されています。.
現在の活動の波には主に次のようなものがあります。 “コールバック試行と「whoami」をテストしています’ 実行,” 脅威アクターが 脆弱なサーバーを積極的にスキャンする, その後の悪用の準備をしている可能性がある.
攻撃はロシアから来ている?
攻撃者の IP アドレスの大部分はロシアから発信されています, と 22,674 インスタンス, 続いてシンガポール, 香港, アメリカ, 中国, インド, ブラジル, 台湾, 日本, そしてエクアドル.
サイバーセキュリティの状況は、次のような事実が明らかになったことでさらに複雑になりました。 以上 11,000 1 月の時点で、Atlassian インスタンスはインターネット経由でアクセス可能です 21, 2024. でも, これらのインスタンスが CVE-2023-22527 に対してどの程度脆弱であるかは依然として不明です.
ProjectDiscovery の研究者、Rahul Maini 氏と Harsh Jaiswal 氏が欠陥の技術分析を提供しました。, その重要な性質を強調する. “CVE-2023-22527 は、アトラシアンの Confluence サーバーおよびデータ センター内の重大な脆弱性です。,” 彼らは述べた. “この脆弱性により、認証されていない攻撃者が Confluence インスタンスに OGNL 式を挿入できる可能性があります。, これにより、任意のコードやシステム コマンドの実行が可能になります。”
状況の進展により、組織がこの積極的に悪用されたセキュリティ脆弱性によってもたらされるリスクを軽減するために、Atlassian Confluence インストールを迅速に更新して保護することが緊急に求められていることが明らかになりました。.