Ransomwaregroepen maken misbruik van CVE-2023-22518, CVE-2023-22515

Meerdere ransomware-collectieven maken actief gebruik van onlangs onthulde kwetsbaarheden in Atlassian Confluence en Apache ActiveMQ, Dat meldt cybersecuritybedrijf Rapid7.

CVE-2023-22518, CVE-2023-22515

De waargenomen exploitatie van CVE-2023-22518 en CVE-2023-22515 in verschillende klantomgevingen heeft geresulteerd in de inzet van Cerber-ransomware, ook bekend als C3RB3R. Beide kwetsbaarheden, als cruciaal beschouwd, Stel bedreigingsactoren in staat ongeautoriseerde Confluence-beheerdersaccounts aan te maken, die ernstige risico's op gegevensverlies met zich meebrengen.

Atlassian, reageren op de escalerende dreiging, heeft zijn advies in november bijgewerkt 6, erkennen “actieve exploits en meldingen van bedreigingsactoren die ransomware gebruiken.” De ernst van de fout is herzien van 9.8 tot de maximale score van 10.0 op de schaal CVSS. Het Australische bedrijf schrijft de escalatie toe aan een verschuiving in de reikwijdte van de aanval.

De aanvalsketens omvatten wijdverbreide exploitatie van kwetsbare Atlassian Confluence-servers die toegankelijk zijn via internet. Dit leidt tot het ophalen van een kwaadaardige lading van een externe server, vervolgens het uitvoeren van de ransomware-payload op de gecompromitteerde server. Opmerkelijk, Uit de gegevens van GreyNoise blijkt dat exploitatiepogingen afkomstig zijn van IP-adressen in Frankrijk, Hong Kong, en Rusland.

CVE-2023-46604

tegelijkertijd, Arctic Wolf Labs heeft een ernstig misbruikt ernstige fout bij het uitvoeren van externe code onthuld (CVE-2023-46604, CVSS-score: 10.0) gevolgen voor Apache ActiveMQ. Deze kwetsbaarheid wordt als wapen gebruikt om een op Go gebaseerde trojan voor externe toegang te leveren, genaamd SparkRAT, samen met een ransomwarevariant die lijkt op TellYouThePass. Het cyberbeveiligingsbedrijf benadrukt de dringende behoefte aan snel herstel om exploitatiepogingen van verschillende bedreigingsactoren met verschillende doelstellingen te dwarsbomen.