Microsoft Tehdit İstihbaratı, 14 Eylül 2023’ten bu yana Atlassian Confluence yazılımındaki bir güvenlik açığından aktif olarak yararlanılmasını takip ettiğini açıkladı.
Microsoft Tehdit İstihbaratı açıklığa kavuşmuş 14 Eylül 2023’ten bu yana Atlassian Confluence yazılımındaki bir güvenlik açığından aktif olarak yararlanıldığını izliyor. Saldırıların ilk gözlemlendiği sırada güvenlik açığı sıfır gündü, yani herhangi bir güncelleme mevcut değildi, dolayısıyla savunucuların “sıfır gün” süresi vardı. ” kusuru düzeltmek için.
Güvenlik açığı o zamandan beri CVE-2023-22515 numaralı bir kimlikle yayınlandı ve mümkün olan en yüksek önem derecesi olan on CVSS puanıyla derecelendirildi. Atlassian’ın 4 Ekim tarihli danışma belgesi, “Kamuya açık Confluence Veri Merkezi ve Sunucu sürümlerinin kritik risk altında olduğu ve acil müdahale gerektirdiği” uyarısında bulunuyor.
Kuruluşunuzda Confluence Veri Merkezi veya Confluence Sunucusu çalıştırıyorsanız ve halka açık internete açıksa, istismarı önlemek için adımlar atmalı, yazılımınızı yükseltmeli ve tehlikenin kanıtlarını aramalısınız (tehdit hakkında ayrıntılı bilgi için Atlassian tavsiyelerine göz atın) avcılık).
Atlassian Confluence’ın 8.0.0’dan önceki sürümleri savunmasız değildir. Confluence sitenize bir atlassian.net alan adı üzerinden erişiliyorsa site Atlassian tarafından barındırılmaktadır ve bu soruna karşı savunmasız değildir. Confluence’ın sabit sürümleri 8.3.3 veya üstü, 8.4.3 veya üstü ve 8.5.2 veya üstüdür.
CVE-2023-22515, sunucuya ağ erişimi olan bir saldırganın yetkisiz Confluence yönetici hesapları oluşturmasına ve Confluence örneklerine erişmesine olanak tanıyan bozuk bir erişim kontrolü güvenlik açığıdır. Confluence yazılımınız halka açık internette bulunuyorsa, saldırganın internet üzerinden ağ erişimi vardır.
10 Ekim 2023’te Atlassian, tavsiye metnini güncelleyerek “bilinen bir ulus devlet aktörünün CVE-2023-22515’i aktif olarak kullandığını gösteren kanıtlara sahip olduğunu” belirtti.
Aynı gün, Microsoft Tehdit İstihbaratı X’e (eski adıyla Twitter), Çin adına çalışan bir ulus devlet aktörü olduğuna inandığı Storm-0062 kod adlı bir ulus devlet aktörünün CVE’yi istismar ettiğini söyledi. -2023-22515 Eylül ortasından bu yana.
Microsoft, 14 Eylül 2023’ten bu yana ulus devlet tehdit aktörü Storm-0062’nin CVE-2023-22515’i vahşi doğada kullandığını gözlemledi. CVE-2023-22515, 4 Ekim 2023’te açıklandı. Storm-0062, başkaları tarafından DarkShadow veya Oro0lxy olarak takip ediliyor .
— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 10 Ekim 2023
Her ne kadar güvenlik açığı ulus devlet korsanlarının elinde sıfır gün olarak başlamış olsa da, daha az bilgili suçluların elinde muhtemelen ikinci bir hayata bürünecek.
Artık bir yamanın mevcut olması ile uygulanması arasındaki süreyi, yani “yama boşluğunu” yaşıyoruz. Bu, kitlesel sömürü için aylarca, hatta yıllarca sürebilecek bir fırsat penceresi yaratıyor. Bir yamanın gelmesi, kuruluşların sistemlerini düzeltmelerine olanak tanıyor ve aynı zamanda daha geniş bir suçlu grubunu bu güvenlik açığının varlığı hakkında bilgilendiriyor. Suçlular ve araştırmacılar daha sonra sorunu tanımlamak için yamaya tersine mühendislik uygulayabilir ve ardından bu durumdan yararlanmak için kendi kodlarını oluşturabilir veya başkalarının bunu kendileri için yapmasını bekleyebilirler.
CVE-2023-22515’e yönelik kavram kanıtı istismarları GitHub’da zaten göründü, dolayısıyla kaybedecek zaman yok. Yama boşluğunun ne kadar süreceği tamamen kuruluşların Confluence yazılımlarını ne kadar hızlı güncellediklerine bağlıdır. Tarih, kuruluşların gerekli hızı bulmakta zorlanabileceğini gösteriyor. Örneğin, 2022’nin en sık kullanılan güvenlik açıklarından biri, Confluence’ta geçen yılın ortasında keşfedilen bir uzaktan kod yürütme kusuru olan CVE-2021-26084’tü.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.