Kötü niyetli aktörler, Atlassian Confluence Veri Merkezi ve Confluence Sunucusunu etkileyen, yakın zamanda açıklanan kritik bir güvenlik açığından, kamuya açıklanmasından sonraki üç gün içinde aktif olarak yararlanmaya başladı.
Şu şekilde izlendi: CVE-2023-22527 (CVSS puanı: 10,0), güvenlik açığı yazılımın güncel olmayan sürümlerini etkileyerek kimliği doğrulanmamış saldırganların duyarlı kurulumlarda uzaktan kod yürütmesine olanak tanıyor.
Bu eksiklik, 5 Aralık 2023’ten önce yayımlanan Confluence Data Center ve Server 8 sürümlerinin yanı sıra 8.4.5’i de etkiliyor.
Ancak her iki rapora göre, kusurun kamuoyunun bilgisine sunulmasından yalnızca birkaç gün sonra, 19 Ocak gibi erken bir tarihte, 600’den fazla benzersiz IP adresinden CVE-2023-22527’yi hedef alan yaklaşık 40.000 istismar girişimi kaydedildi. Shadowserver Vakfı Ve DFIR Raporu.
Faaliyet şu anda sınırlı “geri arama girişimleri ve ‘whoami’ yürütme testleri” ile sınırlı, bu da tehdit aktörlerinin daha sonraki istismarlar için fırsatçı bir şekilde savunmasız sunucuları taradığını gösteriyor.
Saldırganın IP adreslerinin çoğunluğu Rusya’dan (22.674), ardından Singapur, Hong Kong, ABD, Çin, Hindistan, Brezilya, Tayvan, Japonya ve Ekvador geliyor.
21 Ocak 2024 itibarıyla 11.000’den fazla Atlassian örneğinin internet üzerinden erişilebilir olduğu tespit edildi, ancak bunların kaçının CVE-2023-22527’ye karşı savunmasız olduğu şu anda bilinmiyor.
ProjectDiscovery araştırmacıları Rahul Maini ve Harsh Jaiswal, kusurun teknik analizinde “CVE-2023-22527, Atlassian’ın Confluence Sunucusu ve Veri Merkezinde kritik bir güvenlik açığıdır” dedi.
“Bu güvenlik açığı, kimliği doğrulanmamış saldırganların Confluence örneğine OGNL ifadeleri eklemesine izin verme ve böylece rastgele kod ve sistem komutlarının yürütülmesine olanak sağlama potansiyeline sahiptir.”