Kwaadwillende actoren werden snel in beslag genomen een recentelijk blootgelegd kritiek beveiligingsprobleem die van invloed zijn op het Atlassian Confluence-datacenter en de Confluence-server, het lanceren van actieve exploitatiecampagnes binnen slechts drie dagen na de openbaarmaking ervan.
Bedreigingsactoren die CVE-2023-22527 bewapenen
Geïdentificeerd als CVE-2023-22527 met een maximale CVSS-score van 10.0, de kwetsbaarheid vormt een ernstige bedreiging voor verouderde versies van de software, het bieden van niet-geverifieerde aanvallers de mogelijkheid om dit te bereiken uitvoering van externe code op gevoelige installaties.
De fout eist zijn tol van Confluence Data Center and Server 8 versies uitgebracht vóór december 5, 2023, inclusief versie 8.4.5. verontrustend, kort nadat de kwetsbaarheid publiekelijk bekend werd, Beveiligingsonderzoekers merkten een verbazingwekkende op 40,000 exploitatiepogingen gericht op CVE-2023-22527 in het wild. Deze pogingen, al in januari gedocumenteerd 19, afkomstig van voorbij 600 unieke IP-adressen, zoals gerapporteerd door zowel de Shadowserver Foundation als het DFIR-rapport.
De huidige golf van activiteiten betreft vooral “terugbelpogingen testen en 'whoami’ executie,” wat aangeeft dat er dreigingsactoren zijn actief scannen op kwetsbare servers, mogelijk voorbereiden op latere exploitatie.
Aanvallen komen uit Rusland?
Een aanzienlijk deel van de IP-adressen van de aanvaller is afkomstig uit Rusland, met 22,674 instanties, gevolgd door Singapore, Hong Kong, de Verenigde Staten, China, India, Brazilië, Taiwan, Japan, en Ecuador.
Het cyberbeveiligingslandschap is verder gecompliceerd door de onthulling over 11,000 Atlassian-instanties zijn vanaf januari toegankelijk via internet 21, 2024. Echter, de mate waarin deze gevallen kwetsbaar zijn voor CVE-2023-22527 blijft onzeker.
ProjectDiscovery-onderzoekers Rahul Maini en Harsh Jaiswal zorgden voor een technische analyse van de fout, waarbij het kritische karakter ervan wordt benadrukt. “CVE-2023-22527 is een kritieke kwetsbaarheid binnen de Confluence Server en Data Center van Atlassian,” zij verklaarden. “Deze kwetsbaarheid heeft het potentieel om niet-geverifieerde aanvallers in staat te stellen OGNL-expressies in de Confluence-instantie te injecteren, waardoor de uitvoering van willekeurige code en systeemopdrachten mogelijk wordt.”
De zich ontwikkelende situatie laat zien hoe urgent het is voor organisaties om hun Atlassian Confluence-installaties onmiddellijk bij te werken en te beveiligen om de risico's van dit actief uitgebuit beveiligingsprobleem te beperken..
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: