Aqui está um exemplo de uma vulnerabilidade explorada ativamente que agora é usada por operadores de ransomware: CVE-2022-26134. Esta é, de fato, a vulnerabilidade crítica de execução remota de código não autenticado da Atlassian em seu Confluence Server e Data Center.
A vulnerabilidade garante o acesso inicial a redes corporativas e permite que agentes de ameaças não autenticados assumam servidores sem patches remotamente. Isso é feito criando novas contas administrativas e, posteriormente, executando código arbitrário.
Quem está explorando o CVE-2022-26134?
Em primeiro lugar, deve-se mencionar que os códigos de prova de conceito surgiram online logo após a Atlassian lançar um patch. As explorações de PoC geralmente tornam a exploração ainda mais fácil, e vários operadores de botnet iniciaram vários ataques de criptomineração com base na vulnerabilidade. Agora, parece que os operadores de ransomware estão lançando ataques, também.
Os pesquisadores da Prodaft descobriram que as afiliadas do AvosLocker ransomware-as-a-service grupo está explorando a falha. Os invasores estão mirando sem patches, Servidores Confluence expostos à Internet infectando várias vítimas em grande escala automaticamente.
Outro grupo de ransomware que usa o exploit é o ransomware Cerber2021. No geral, o surgimento de explorações PoC corresponde ao aumento de ataques bem-sucedidos de ransomware Cerber, de acordo com a Microsoft e outros pesquisadores de segurança cibernética.
O que é Atlassian Confluence?
Atlassian Confluence é uma plataforma de colaboração escrita principalmente em Java e rodando em um servidor de aplicativos Apache Tomcat empacotado. A plataforma ajuda os usuários a criar conteúdo usando espaços, Páginas, e blogs que outros usuários podem comentar e editar.
Para evitar qualquer ataque, é altamente recomendável atualizar para uma versão fixa do Confluence. Se o patch não for imediatamente possível por algum motivo, uma Gambiarra também está disponível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: