Microsoft, ‘Storm-0062’ (aka DarkShadow veya Oro0lxy) olarak takip edilen Çin destekli bir tehdit grubunun, 14 Eylül 2023’ten bu yana Atlassian Confluence Veri Merkezi ve Sunucusunda sıfırıncı günde kritik bir ayrıcalık yükseltmesinden yararlandığını söylüyor.
Atlassian, 4 Ekim 2023’te açıkladığında CVE-2023-22515’in aktif kullanım durumu hakkında müşterilerini zaten bilgilendirmişti. Yine de şirket, mevcut güvenlik açığından yararlanan tehdit gruplarına ilişkin belirli ayrıntıları gizledi.
Bugün Microsoft Tehdit İstihbaratı analistleri, Storm-0062’nin CVE-2023-22515’in istismarına katılımı hakkında daha fazla bilgi paylaştı ve Twitter’daki bir başlıkta rahatsız edici dört IP adresi yayınladı.
Atlassian’ın güvenlik güncellemelerini Ekim başında kullanıma sunduğu göz önüne alındığında, Storm-0062 bu kusurdan neredeyse üç hafta boyunca sıfır gün hatası olarak yararlandı ve açığa çıkan uç noktalarda rastgele yönetici hesapları oluşturdu.
Storm-0062, Çin Devlet Güvenlik Bakanlığı’na bağlı bir devlet korsanlığı grubudur ve istihbarat toplamak için ABD, İngiltere, Avustralya ve çeşitli Avrupa ülkelerindeki yazılım, mühendislik, tıbbi araştırma, hükümet, savunma ve teknoloji firmalarını hedef almasıyla bilinir.
Amerika Birleşik Devletleri, Temmuz 2020’de Çinli bilgisayar korsanlarını dünya çapındaki hükümet kuruluşlarını ve şirketlerini hackleyerek terabaytlarca veri çalmakla suçladı.
PoC istismarı çevrimiçi olarak yayınlandı
Siber güvenlik şirketi Greynoise tarafından toplanan verilere göre CVE-2023-22515’in kullanımı oldukça sınırlı görünüyor.
Bununla birlikte, Rapid7 araştırmacıları tarafından dün açıklanan bir kavram kanıtlama (PoC) istismarı ve güvenlik açığıyla ilgili tüm teknik ayrıntılar, istismar ortamını yakında değiştirebilir.
Rapid7 analistleri, saldırganların üründeki mevcut güvenlik kontrollerini nasıl atlayabileceğini ve saldırganın bildiği parolaya sahip yeni yönetici kullanıcılar oluşturan savunmasız uç noktalara hazırlanmış bir HTTP isteği göndermek için hangi cURL komutunun kullanılabileceğini gösterdi.
Ayrıntılı yazıları ayrıca, diğer kullanıcıların kurulumun tamamlanmasına ilişkin bir bildirim almamasını sağlayan ek bir istek de içeriyor ve bu da güvenliğin gizli olmasını sağlıyor.
Atlassian’ın etkilenen ürünler için güvenlik güncellemelerini yayınlamasının üzerinden bir hafta geçti, böylece kullanıcılara PoC açıklarından yararlanmanın kamuya açıklanması öncesinde duruma yanıt vermek için yeterli zamanları oldu.
Henüz yapmadıysanız aşağıdaki sabit Atlassian Confluence sürümlerinden birine yükseltmeniz önerilir:
- 8.3.3 veya üstü
- 8.4.3 veya üstü
- 8.5.2 (Uzun Süreli Destek sürümü) veya üzeri
CVE-2023-22515 kusurunun Confluence Data Center ve Server’ın 8.0.0’dan önceki sürümlerini etkilemediğini, dolayısıyla eski sürüm kullanıcılarının herhangi bir işlem yapmasına gerek olmadığını unutmayın.
Aynı durum, atlassian.net etki alanlarındaki Atlassian tarafından barındırılan ve bu saldırılara karşı savunmasız olmayan örnekler için de geçerlidir.
Güvenlik ihlali göstergeleri, yükseltme talimatları ve etkilenen ürün sürümlerinin tam listesi hakkında daha fazla ayrıntı için Atlassian’ın güvenlik bültenine bakın.