Microsoft’un tehdit analistleri, Atlassian Confluence Veri Merkezi ve Sunucusundaki (CVE-2023-22515) kritik bir kusurun, devlet destekli bir tehdit aktörü tarafından istismar edildiğini belirledi.
Güvenlik açığı hakkında
CVE-2023-22515, başlangıçta Confluence Data Center ile Server 8.0.0 ve sonraki sürümlerini etkileyen kritik bir ayrıcalık yükseltme güvenlik açığı olarak sınıflandırıldı, ancak daha sonra bozuk erişim kontrolünden kaynaklanan bir sorun olarak yeniden sınıflandırıldı.
Atlassian, 5 Ekim’de birden fazla müşterinin, harici saldırganların yetkisiz Confluence yönetici hesapları oluşturmak ve Confluence örneklerine erişmek için kusuru kullandığı saldırıları bildirdiğini söyledi. Ertesi gün şirket, bilinen bir ulus devlet aktörünün CVE-2023-22515’i aktif olarak kullandığını gösteren kanıtların bulunduğunu söyledi.
Şirket, yöneticilere, kendilerinde barındırılan Confluence kurulumlarını sabit bir sürüme (8.3.3 veya üstü, 8.4.3 veya üstü, 8.5.2 veya üstü) güncellemelerini veya bunlara harici erişimi kısıtlamalarını ve güvenlik ihlali göstergelerini kontrol etmelerini tavsiye etti. .
CVE-2023-22515 doğada istismar ediliyor
Microsoft’un güvenlik uzmanları bugün, Storm-0062 adını verdikleri bir ulus-devlet tehdit aktörünün 14 Eylül’den beri CVE-2023-22515’i kullandığını gözlemlediklerini söyledi. “Storm-0062, DarkShadow veya Oro0lxy olarak başkaları tarafından izleniyor” dediler ve Paylaşıldı İlgili CVE-2023-22515 istismar trafiğini gönderen dört IP adresi.
Rapid7 araştırmacıları Salı günü CVE-2023-22515’in kapsamlı bir teknik analizini ve ilgili uzlaşma göstergelerini yayınladı.
“Atlassian, bu güvenlik açığının, onların bilgisi veya bir yama mevcut olmadan önce, sıfır gün güvenlik açığı olarak vahşi ortamda istismar edildiğini belirtti. Rapid7 güvenlik araştırmacısı Stephen Fewer, “Gözlenen saldırgan davranışı, yeni bir yönetici kullanıcı oluşturmak için CVE-2023-22515’ten yararlanmayı içeriyordu, ancak bu güvenlik açığının kullanılabileceği tek yolun bu olmadığına inanıyoruz” dedi.
“Analizimiz, bu güvenlik açığının kimliği doğrulanmamış bir saldırgan tarafından uzaktan yararlanılabileceği ve hedef Confluence sunucusunda yeni bir yönetici hesabı oluşturmak için kullanılabileceği sonucuna varıyor. Bu, sunucuda tutulan verilerin bütünlüğünün ve gizliliğinin tamamen kaybolmasına yol açabilir. Güvenlik açığının temel nedeni, bir saldırganın kritik yapılandırma ayarlarını değiştirmesine izin verdiğinden, saldırganın yalnızca yeni bir yönetici oluşturması yeterli olmayabilir; başka istismar yolları da mevcut olabilir.”
İnternet çapındaki sistem tarama çalışmalarını takip eden GreyNoise, CVE-2023-22515 istismar girişimlerini kaydetmek için bir etiket oluşturdu.