Üç Amerikan emniyet teşkilatı ve siber güvenlik kuruluşu, kuruluşlara bu ayın başında açıklanan Atlassian Confluence Sunucusu ve Veri Merkezi güvenlik açığını düzeltmeleri çağrısında bulunmak üzere güçlerini birleştirdi.
Atlassian, CVE-2023-22515’e yama uygularken bu güvenlik açığının bazı müşteri sitelerinde yönetici hesapları oluşturmak için zaten kullanılmış olabileceğini söyledi.
Geçen hafta Microsoft, saldırıları Çinli bir aktöre bağladı.
Şimdi FBI, Siber ve Altyapı Güvenliği Ajansı (CISA) ve İnternet Güvenliği Merkezi’nin Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) bir makale yazmak için bir araya geldi [pdf] Tehlikeleri ayrıntılı olarak açıklıyor.
Ortak siber güvenlik danışmanlığı, “tehdit aktörlerinin Confluence sunucusunun yapılandırmasını kurulumun tamamlanmadığını gösterecek şekilde değiştirebileceğini ve yeni bir yönetici kullanıcı oluşturmak için /setup/setupadministrator.action uç noktasını kullanabileceğini” açıkladı.
Danışma belgesinde “Güvenlik açığı, kimliği doğrulanmamış /server-info.action uç noktasındaki bir istek aracılığıyla tetikleniyor” ifadesine yer verildi.
Şunları ekledi: “Güvenlik açığının temel nedeni, tehdit aktörlerinin kritik yapılandırma ayarlarını değiştirmesine izin verdiği göz önüne alındığında, CISA, FBI ve MS-ISAC, tehdit aktörlerinin yalnızca yeni yönetici hesapları oluşturmakla sınırlı olmayabileceğini değerlendiriyor.”
Üç kuruluş, hatanın istismar edilmesinin kolay olduğunu ve bu nedenle “hükümet ve özel ağlardaki yama yapılmamış Confluence örneklerinin yaygın şekilde istismar edilmesini” beklediklerini söyledi.
İki komut satırı aracının, cURL URL araç takımı ve Rclone veri senkronizasyon yardımcı programının, istismar sonrası veri istismarı için kullanıldığını gözlemlediklerini ekliyorlar.
Makale, savunmasız sistemlere yönelik istek başlıklarında iki kullanıcı aracısı dizisinin gözlemlendiğini ekledi: Python-requests/2.27.1 ve curl/7.88.1, “kullanıcı aracısı dizelerinde artan bir varyasyonun beklendiğini” ekledi.