Çok sayıda fidye yazılımı grubu, Atlassian Confluence ve Apache ActiveMQ’da yakın zamanda açıklanan kusurlardan aktif olarak yararlanmaya başladı.
Siber güvenlik firması Rapid7, bazılarının Cerber’in (aka C3RB3R) fidye yazılımı.
Her iki güvenlik açığı da kritik öneme sahiptir ve tehdit aktörlerinin yetkisiz Confluence yönetici hesapları oluşturmasına ve veri kaybına yol açmasına olanak tanır.
Atlassian, 6 Kasım’da tavsiyesini güncelleyerek “birkaç aktif istismar ve fidye yazılımı kullanan tehdit aktörlerine ilişkin raporları” gözlemlediğini ve kusurun CVSS puanını maksimum ciddiyeti gösteren 9,8’den 10,0’a revize ettiğini belirtti.
Avustralyalı şirket, tırmanmanın saldırı kapsamındaki değişiklikten kaynaklandığını söyledi.
Saldırı zincirleri, uzak bir sunucuda barındırılan kötü amaçlı bir yükü getirmek için internete bakan savunmasız Atlassian Confluence sunucularının toplu olarak sömürülmesini içerir ve bu da fidye yazılımı yükünün tehlikeye atılan sunucuda yürütülmesine yol açar.
GreyNoise tarafından toplanan veriler, istismar girişimlerinin Fransa, Hong Kong ve Rusya’da bulunan üç farklı IP adresinden kaynaklandığını gösteriyor.
Bu arada Arctic Wolf Labs, Apache ActiveMQ’yu (CVE-2023-46604, CVSS puanı: 10.0) etkileyen ciddi bir uzaktan kod yürütme kusurunun, SparkRAT adı verilen Go tabanlı bir uzaktan erişim truva atının yanı sıra bir fidye yazılımı türevi sunmak üzere silah haline getirildiğini açıkladı. TellYouThePass ile benzerlikler paylaşıyor.
Siber güvenlik firması, “CVE-2023-46604’ün farklı amaçlara sahip çeşitli tehdit aktörleri tarafından vahşi doğada istismar edildiğine dair kanıtlar, bu güvenlik açığının hızlı bir şekilde iyileştirilmesi ihtiyacını gösteriyor” dedi.