Támadók a nemrégiben javított és kritikus jelentőségű Atlassian Confluence hitelesítés kikerülési hibát használják ki a Cerber zsarolóvírus áldozatok fájljainak titkosításához.
Az Atlassian által egy nem megfelelő jogosultság sérülésként leírt és CVE-2023-22518-ként nyomon követett hibát 9,1/10 súlyossági értékeléssel látták el. Ez érinti a Confluence Data Center és Confluence Server összes szoftver verzióját.
Az Atlassian október 31-én adta ki a biztonsági frissítéseket, figyelmeztetve az adminisztrátorokat, hogy azonnal javítsák az érintett példányokat, mivel a hibát arra is ki lehet használni, hogy az adatokat töröljék. A cég később második figyelmeztetést is kiadott, amely szerint online elérhetővé vált egy koncepció, bár nincs bizonyíték aktív kihasználásra. November 3-án már azzal a frissítette a tájékoztatóját, hogy már van bizonyítékuk a hiba az aktív kihasználásra is.
A GreyNoise is figyelmeztetett a CVE-2023-22518 terjedő aktív kihasználására, és a Rapid7 kiberbiztonsági vállalat is észlelte a támadásokat az interneten elérhető Atlassian Confluence szerverek ellen, a CVE-2023-22518 hitelesítés kikerülés és egy korábbi kritikus jogosultságemelés (CVE-2023-22515) kihasználásával.
Az elkövetők több támadási láncban rosszindulatú tartalmat töltenek le a 193.43.72[.]11 és/vagy 193.176.179[.]41 című szerverekről, ami a Cerber zsarolóvírus telepítéséhez vezetett.
A Cerber zsarolóvírus (ismert még CerberImposter néven) két évvel ezelőtt is bevetésre került támadásokban az Atlassian Confluence szerverek ellen egy távoli kódvégrehajtási sebezhetőség (CVE-2021-26084) kihasználásával, amelyet korábban kriptobányászok telepítésére is kihasználtak.
Azokat, akik nem tudják frissíteni rendszereiket, arra kérték, hogy alkalmazzanak védekezési intézkedéseket, például a nem frissített példányok biztonsági mentése és az internet hozzáférés letiltása a nem frissített szerverekre, amíg azokat biztonságossá teszik.
Van lehetőség ismert támadási vektorok eltávolítására a /<confluence-install-dir>/confluence/WEB-INF/web.xml módosításával, majd a sebezhető példányok újraindításával.
A ShadowServer fenyegetésmegfigyelési szolgáltatás adatai szerint jelenleg több mint 24 000 Confluence példány elérhető online, bár nincs mód meghatározni, hány van veszélyeztetve a CVE-2023-22518 támadások szempontjából.
