Microsoft, Atlassian Confluence Sunucusu ve Confluence Veri Merkezi’nde yakın zamanda açıklanan kritik hatanın vahşi ortamda istismar edilmesinden Storm-0062 olarak takip edilen Çin sponsorluğundaki gelişmiş kalıcı tehdidin (APT) sorumlu olduğunu duyurdu. Ve artık kitlesel sömürünün habercisi olan kavram kanıtı istismarlarının mevcut olduğu ortaya çıktı.
Kusur (CVE-2023-22515) geçen hafta açıklandı ve Atlassian bundan önce bunun sıfır gün olarak kullanıldığını kabul etti. Güvenlik açığı ilk başta bir ayrıcalık yükseltme sorunu olarak etiketlendi, ancak kimlik doğrulama olmadan uzaktan kullanılabilir ve araştırmacılara göre bir kod yürütme aracına daha çok benzemesi gerekir; bu değerlendirme, CVSS güvenlik açığına ilişkin 10 üzerinden 10 sıralamasıyla da doğrulanmıştır. -şiddet ölçeği.
Buna göre Atlassian, hatayı bozuk bir erişim kontrolü sorunu olarak etiketlemek için tavsiyesini daha sonra güncelledi.
Microsoft bu hafta, 14 Eylül’den bu yana aktif olduğunu söylediği sıfır gün kampanyasıyla ilgili ek ayrıntılar verdi. bir dizi tweetilgili CVE-2023-22515 istismar trafiğini gönderdiği gözlemlenen dört IP adresi belirledi; ayrıca “güvenlik açığı bulunan bir uygulamaya ağ bağlantısı olan herhangi bir cihazın, uygulama içinde bir Confluence yönetici hesabı oluşturmak için CVE-2023-22515’ten yararlanabileceği” belirtildi.
Bu atıfla birlikte, s1r1us adını kullanan eski bir bilgisayar bilimi öğrencisi ve “güvenlik meraklısı” GitHub’a bir kavram kanıtını (PoC) bıraktı; Rapid7’deki araştırmacılar, PoC geliştiricilerine birçok ipucu sunabilecek güvenlik açığına ilişkin ayrıntılı bir analiz yayınladı.
Pekin Sponsorlu Storm-0062 Kimdir?
Microsoft, Storm-0062 APT’nin DarkShadow veya Oro0lxy olarak da bilindiğini belirtti. Her iki isim de, 2020 yılında ABD Adalet Bakanlığı tarafından “COVID-19 aşıları, test teknolojisi ve tedavileri geliştiren şirketlerin bilgisayar ağlarındaki güvenlik açıklarını” araştırmakla suçlanan Çinli devlet korsanları Li Xiaoyu ve Dong Jiazhi’nin takma adlarıdır.
Muhtemelen Çin’de serbest kalıyorlar ve çeşitli ortaklarla birlikte en az 2009’a kadar uzanan devlet destekli bir hackleme geçmişine sahipler.
Microsoft, en son saldırıların mağduriyeti hakkında hiçbir ayrıntı vermedi ancak geçen hafta yayınlanan yıllık Dijital Savunma Raporunda, Çin devleti destekli kampanyaların tipik olarak Çin Komünist Partisinin (ÇKP) küresel etki ve istihbarat toplama yönündeki ikili arayışını yansıttığını ve bu nedenle geniş ağ.
“Siber tehdit grupları [in China] Rapora göre, ABD savunmasını ve kritik altyapısını, Güney Çin Denizi sınırındaki ülkeleri ve hatta Çin’in stratejik ortaklarını hedef alan dünya çapında karmaşık kampanyalar yürütmeye devam ediyorlar”. “Çin’in bazı siber faaliyetleri, bir saldırı durumunda olası yanıt yollarını da gösterebilir.” Gelecekteki jeopolitik kriz.”
Atlassian: Yazılım Tedarik Zinciri Saldırısına Açık
Hata söz konusu olduğunda riskler yüksektir. Confluence işbirliği ortamları, hem dahili projelere hem de müşterilerine ve ortaklarına ilişkin hassas verileri barındırabilir; bu, dosyalarının içinde gizlenen davetsiz misafirlerin, bu üçüncü taraflara devam eden saldırılar düzenlemek için ihtiyaç duydukları tüm bilgileri toplayabilecekleri anlamına gelir.
Contrast Security’nin siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellermann, bu tür sıfır gün istismarının “uygulamayı kirletmek için özel olarak tasarlandığını ve böylece bu Çinli siber casusların Confluence’ı sayısız kuruluşa yönelik bir saldırı vektörü olarak kullanmasına olanak sağladığını” belirtiyor. “
Şöyle ekliyor: “Bu, sistemik bir tedarik zinciri saldırısını temsil ediyor. İşletmelerin ve devlet kurumlarının çoğunluğu bunu kullanıyor ve adadan adaya ulaşımı kolaylaştırmak için ele geçirilebilir.”
Kendisi aynı zamanda işletmelerin kitlesel sömürü dalgalarına karşı hazırlıklı olması gerektiği konusunda da uyarıyor; çünkü artık bu özel güvenlik açığından yararlanmaya yönelik kamuya açık yol haritaları mevcut ve Confluence’ın siber suç türleri arasında popüler olma geçmişi var.
Çin’in “Halk Kurtuluş Ordusu”nun geniş bir siber casus ağı var ve bunların çoğu silahlanmaya odaklanıyor [the country] sıfır günlerle” Kellerman diyor. “Başlangıçta, bu güvenlik açığından yararlanmak için bir APT gerekiyordu, ancak şimdi ayrıntıların açıklanmasıyla birlikte toplu bir uzlaşma ortaya çıkabilir.”
Microsoft, kendilerini korumak için “Confluence uygulamalarına açık olan kuruluşların mümkün olan en kısa sürede sabit bir sürüme yükseltme yapması gerektiğini: 8.3.3, 8.4.3 veya 8.5.2 veya üzeri” tavsiyesinde bulundu. “Kuruluşlar, güvenlik açığı bulunan Confluence uygulamalarını yükseltene kadar genel internetten izole etmelidir.”
Kellerman, işletmelerin bu spesifik APT grubuna yönelik kanıtları bulmak için yama uygulamasının ötesinde tehdit avcılığını artırması gerektiğini ekliyor ve çalışma zamanı güvenliğinin dağıtılmasının “istismarın veya sıfır günlerin azaltılması için zorunlu” olduğunu söylüyor.