Badacze z dziedziny bezpieczeństwa obserwują wiele prób wykorzystania podatności CVE-2023-22527, która dotyczy przestarzałych wersji serwerów Atlassian Confluence.
Atlassian ujawnił ten problem zabezpieczeń w zeszłym tygodniu, zaznaczając, że dotyczy tylko wersji Confluence wydanych przed 5 grudnia 2023 roku, a także niektórych nieobsługiwanych wersji.
Podatność ta jest klasyfikowana jako krytyczna i opisuje się ją jako słabość wstrzykiwania szablonu, która umożliwia nieuwierzytelnionym atakującym zdalnym uruchomienie kodu na podatnych punktach końcowych Confluence Data Center i Confluence Server w wersjach od 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x do 8.5.0 do 8.5.3.
Naprawa jest dostępna dla wersji Confluence Data Center i Server 8.5.4 (LTS), 8.6.0 (tylko Data Center), 8.7.1 (tylko Data Center) i późniejszych wydań.
Dziś serwis monitoringu zagrożeń Shadowserver informuje, że jego systemy wykryły tysiące prób wykorzystania CVE-2023-22527, pochodzących z niespełna 600 unikalnych adresów IP.
Serwis twierdzi, że atakujący próbują wywołać polecenie “whoami”, aby zdobyć informacje o poziomach dostępu i uprawnieniach w systemie.
Całkowita liczba prób eksploatacji zgłoszonych przez Shadowserver Foundation wynosi ponad 39 000, przy czym większość ataków pochodzi z rosyjskich adresów IP.
Shadowserver informuje, że jego skanery obecnie wykrywają 11 100 instancji Atlassian Confluence dostępnych w internecie. Niemniej jednak nie wszystkie z nich koniecznie działają w podatnej wersji.
Atakujący różnego rodzaju, w tym grupy zagrożeń sponsorowanych przez państwo oraz gangi ransomware, często wykorzystują podatności platformy Atlassian Confluence, w tym CVE-2023-22527.
W odniesieniu do CVE-2023-22527 Atlassian wcześniej oświadczył, że nie jest w stanie podać konkretnych wskaźników złośliwości (IoCs), które ułatwiłyby wykrycie przypadków wykorzystania.
Administratorzy serwera Confluence powinni sprawdzić, czy punkty końcowe, którymi zarządzają, zostały zaktualizowane co najmniej do wersji wydanej po 5 grudnia 2023 roku.
Dla organizacji korzystających z przestarzałych wersji Confluence zaleca się traktowanie ich jako potencjalnie naruszonych, poszukiwanie oznak eksploatacji, przeprowadzenie dokładnego czyszczenia i uaktualnienie do bezpiecznej wersji.
FAQ
The source of the article is from the blog hashtagsroom.com