Bilgisayar Korsanları Fidye Yazılımını Dağıtmak İçin Confluence Kusurunu Kullanıyor

   Kasım 10, 2023  Posted in GBHackers


Bilgisayar korsanları, Confluence’ın yaygın olarak kullanılan bir işbirliği ve dokümantasyon platformu olması nedeniyle kusurlarını aktif olarak hedef alıyor ve bu da onu hassas bilgilere yetkisiz erişim elde etmek veya kötü amaçlı yazılım yaymak için değerli bir hedef haline getiriyor.

Confluence’daki güvenlik açıklarından yararlanmak aşağıdakilere yol açabilir: –

  • Veri ihlalleri
  • Veri manipülasyonu
  • Ticari faaliyetlerin aksaması

Bunlar onu siber suçlular ve kötü niyetli aktörler için çekici bir hedef haline getiriyor. Rapid 7’deki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının fidye yazılımını dağıtmak için sıfır gün kusurundan aktif olarak yararlandığını tespit etti.

Rapid7 MDR (Yönetilen Tespit ve Yanıt), Ekim 2023’te açıklanan aşağıdaki güvenlik açıklarını hedef alan, fidye yazılımı da dahil olmak üzere Atlassian Confluence istismarını tespit ediyor: –

Fidye Yazılımını Dağıtmak İçin Suistimal Edildi

5 Kasım 2023’te Rapid7 MDR, Confluence Server’ın kötüye kullanımını hedeflemeye başladı. Süreç zincirinin çeşitli bağlamlarda benzer olması, saldırıların yaygın olma ihtimalinin yüksek olduğunu gösteriyor.

Bunun yanı sıra, HTTP erişim günlüklerindeki POST istekleri aşağıdaki platformların her ikisinde de gözlemlendi: –

İlk sayım turunun ardından, tehdit aktörleri Python Base64 talimatlarını kullanarak kötü amaçlı bir veri indirdiler ve bu da Cerber fidye yazılımının yayılmasına yol açacaktı.

Kusur Profili

  • CVE kimliği: CVE-2023-22518
  • Özet: CVE-2023-22518 – Confluence Veri Merkezi ve Sunucusunda Uygunsuz Yetkilendirme Güvenlik Açığı.
  • Tavsiye Yayın Tarihi: 31 Ekim 2023 Salı 00:00 ET
  • Ürünler: Confluence Veri Merkezi, Confluence Sunucusu
  • İlgili Jira Bilet(ler)i: CONFSERVER-93142

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.

Confluence’ın Sabit Versiyonu

Aşağıda Confluence’ın tüm sabit sürümlerinden bahsettik: –

  • 7.19.16
  • 8.3.4
  • 8.4.4
  • 8.5.3
  • 8.6.1

Atlassian Cloud kullanıcıları bu soruna karşı güvendedir; ancak güvenlik açığı bulunan Confluence sitelerine sahip müşteriler, güvenlik açısından derhal güncelleme yapmalı ve harici erişimi kısıtlamalıdır.

Anında güncellemeler mümkün değilse, Atlassian’ın risk azaltmaya yönelik geçici önlemlerini izleyin; ancak satıcı yamalarını uygulamak en iyi uygulamadır.

Azaltmalar

Aşağıda, tüm geçici azaltımlardan bahsettik: –

  • Örneğinizi yedekleyin.
  • Örneğinizi yama yapana kadar internetten kaldırın.
  • Harici ağ erişimini veya yamayı kısıtlayamıyorsanız.

IOC’ler

IP Adresleri:

  • 193.176.179[.]41
  • 193.43.72[.]11
  • 45.145.6[.]112

Alanlar:

  • j3qxmk6g5sk3zw62i2yhjnwmhm55rfz47fdyfkhaithlpelfjdokdxad[.]soğan

Dosya Karmaları:

  • Yarasa dosyası: /tmp/agttydcb.bat – MD5: 81b760d4057c7c704f18c3f6b3e6b2c4
  • ELF fidye yazılımı ikili dosyası: /tmp/qnetd – SHA256: 4ed46b98d047f5ed26553c6f4fded7209933ca9632b998d265870e3557a5cdfe

Fidye notu:

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link