Şirket içi dağıtımlara sahip Atlassian Confluence müşterileri, bir ay içinde endişelenmeleri gereken, aktif olarak kullanılan ikinci bir kritik güvenlik açığıyla karşı karşıyadır.
Confluence Data Center ve Server’ın tüm sürümlerini etkileyen uygunsuz yetkilendirme güvenlik açığı, CVE-2023-22518altında birden fazla müşteri ortamında aktif yararlanma fidye yazılımı saldırıları başlatmak için Caitlin Condon, Rapid7’deki güvenlik açığı araştırması başkanı.
Atlassian, Cuma günü müşterilerinden biri tarafından bildirilen aktif bir istismarın alındığını kabul etti ve Pazartesi günü CVE derecelendirmesini güncelledi.
Atlassian, “Saldırı kapsamındaki değişiklik nedeniyle CVE-2023-22518’i CVSS 9,1’den en yüksek kritik derecelendirme olan 10’a yükselttik” dedi. güvenlik açığına ilişkin tavsiye. “Müşterilerin bulut sunucularını korumak için derhal harekete geçmesi gerekiyor. Yamayı zaten uyguladıysanız başka bir işlem yapmanıza gerek yoktur.”
Rapid7, Pazar gününden itibaren 13 saatlik bir süre boyunca altıdan fazla müşteri ortamında istismar gözlemledi.
Condon, e-posta yoluyla, “Kurban sektörleri veya coğrafi konumlar arasında fark edilebilir bir model yok; etkilenen kuruluşların bir kısmı Amerika Birleşik Devletleri’nde, ancak diğerleri küresel” dedi.
Condon, Rapid7’nin saldırıları belirli bir tehdit aktörüne bağlamadığını ancak hafif teknik farklılıklarla birkaç olayda Cerber fidye yazılımının yayıldığını gözlemlediğini söyledi.
Ancak Rapid7 araştırmacıları bir danışma belgesinde, saldırının süreç yürütme zincirinin birden fazla ortamda benzer olduğunu ve bunun internete yönelik savunmasız Confluence sunucularının olası kitlesel istismarına işaret edebileceğini söyledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın “bir siber aktörün hassas bilgiler elde etmek için bu güvenlik açığından yararlanabileceği” uyarısından bu yana aktif istismarlara ilişkin endişeler artıyor. Perşembe tavsiyesi.
En son istismarlar bir takip ediyor ayrı olarak istismar edilen sıfır gün güvenlik açığı Confluence Veri Merkezi ve Sunucuda, CVE-2023-22515Atlassian, müşterilerini 4 Ekim’de uyardı. Her iki CVE’nin de temel CVSS puanı 10 üzerinden 10’dur.
Microsoft Tehdit İstihbaratı, bir ulus-devlet tehdit aktörünün 14 Eylül’de CVE-2023-22515’ten aktif olarak yararlanmaya başladığını söyledi. 10 Ekim’de X’teki gönderieski adı Twitter olan sosyal medya sitesi.
Bu saldırıların ardından CISA, FBI ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi, “sömürü kolaylığı nedeniyle yaygın ve sürekli sömürü beklediklerini” söyledi. ortak danışmanlık 16 Ekim’de kritik bozuk erişim kontrolü güvenlik açığı hakkında.
Tehdit aktörleri her iki güvenlik açığını da hedeflemeye devam ediyor. Condon, Rapid7 tarafından gözlemlenen bir olayda, bir tehdit aktörünün CVE-2023-22518’e yönelik bir açıktan yararlanmadan önce başarısız bir şekilde CVE-2023-22515’i istismar etmeye çalıştığını söyledi.
Atlassian, yazılım güncellemeleri aracılığıyla her iki güvenlik açığına yönelik yamalar hazırladı. Avustralya merkezli şirketin bir sözcüsü, kritik güvenlik açıklarına derhal yanıt verdiğini, müşterileri derhal harekete geçmeye çağırdığını ve fidye yazılımı saldırıları da dahil olmak üzere aktif istismarlar öğrendikçe güncellemeler sağladığını söyledi.
“Confluence dünya çapında oldukça popüler bir platform. İlk erişim vektörü olarak popülerliği ve potansiyeli, onu yüksek değerli bir saldırı hedefi haline getiriyor” dedi Condon. “Platformun yakın zamanda geniş çapta istismar edilen iki güvenlik açığına sahip olması talihsiz bir durum, ancak bir ayda iki kritik güvenlik açığı karmaşık yazılımlar için pek de alışılmadık bir durum değil.”