Изследователи по сигурността наблюдават опити за експлоатация на уязвимостта CVE-2023-22527 за отдалечено изпълнение на код, която засяга остарели версии на сървърите Atlassian Confluence.
Atlassian разкри проблема със сигурността миналата седмица и отбеляза, че той засяга само версиите на Confluence, пуснати преди 5 декември 2023 г., заедно с някои излезли от поддръжка версии.
Недостатъкът е с критична оценка на сериозността и е описан като слабост при инжектиране на шаблони, която позволява на неавтентифицирани отдалечени нападатели да изпълняват код на уязвими крайни точки на Confluence Data Center и Confluence Server, версии 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0 до 8.5.3.
Поправката е налична за Confluence Data Center и Server версии 8.5.4 (LTS), 8.6.0 (само Data Center) и 8.7.1 (само Data Center), както и за по-късни версии.
Услугата за наблюдение на заплахи Shadowserver съобщава днес, че нейните системи са регистрирали хиляди опити за използване на CVE-2023-22527, като атаките са тръгнали от малко над 600 уникални IP адреса.
Службата казва, че нападателите изпробват обратни повиквания, като изпълняват командата „whoami“, за да съберат информация за нивото на достъп и привилегиите в системата.
Злонамерена HTTP заявка (The DFIR Report)
Общият брой на опитите за експлоатация, регистрирани от The Shadowserver Foundation, е над 39 000, като повечето от атаките идват от руски IP адреси.
Shadowserver съобщава, че в момента нейните скенери откриват 11 100 инстанции на Atlassian Confluence, достъпни през публичния интернет. Не всички от тях обаче непременно работят с уязвима версия.
Над 11 000 открити Confluence сървъра (ShadowServer)
Уязвимостите на Atlassian Confluence са активи, които често се използват от различни видове нападатели, включително сложни, спонсорирани от държавата заплахи и опортюнистични групи за получаване на откуп.
По отношение на CVE-2023-22527 Atlassian по-рано заяви, че не е в състояние да предостави конкретни индикатори за компрометиране (IoC), които биха помогнали за откриване на случаи на експлоатация.
Администраторите на сървъра Confluence трябва да се уверят, че крайните точки, които управляват, са актуализирани поне до версия, издадена след 5 декември 2023 г.
За организациите с остарели екземпляри на Confluence съветът е да ги третират като потенциално компрометирани, да търсят признаци на експлоатация, да извършат цялостно почистване и да ги актуализират до безопасна версия.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.