İlk olarak geçen hafta açıklanan Atlassian Confluence Veri Merkezi ve Sunucu güvenlik açığı aktif olarak kullanılıyor.
Güvenlik şirketi Rapid7, saldırganların CVE-2023-22518 olarak tanımlanan uygunsuz yetkilendirme güvenlik açığından yararlandığını gördüğünü söyledi.
Rapid7, “birden fazla ortamda tutarlı” bir yürütme zincirinin “internet’e yönelik savunmasız Atlassian Confluence sunucularının olası toplu istismarına” işaret ettiğini söyledi.
Rapid7’nin gönderisinde, bir saldırı başarılı olursa, Cerber fidye yazılımının istismar edilen Confluence sunucusuna yükleneceği belirtildi.
Atlassian’ın güncellenen tavsiye belgesinde, en az bir müşteri istismarı raporu alındığı ve bu güvenlik açığına ilişkin CVSS puanının 9,1’den 10’a yükseltildiği belirtildi.
SANS Enstitüsü’nden Dr Johannes Ullrich, enstitünün, Atlassian’ın danışma belgesinde tanımlanan Confluence URL’lerine ve şu URL’ye saldırmaya çalışan trafiği gördüğünü yazdı: “/rest/api/user?username=”.
Enstitünün, bilinen bir saldırgan olan 206.189.179.132 IP adresini tespit ettiğini yazdı: “günlüklerimize yabancı değil”.
SANS Enstitüsü’nün günlüklerindeki diğer saldırgan IP’leri arasında Hindistan’dan 103.207.14.235 ve 103.207.14.196, ABD’den 104.238.130.6 ve Kanada’dan 99.245.96.12 yer alıyor.
Rapid7 üç IP daha belirledi: 193.176.179.41, 193.43.72.11 ve 45.145.6.112.