Как новый критический баг позволяет злоумышленникам эффективно шифровать данные?
Платформа Atlassian Confluence столкнулась с Для просмотра ссылки Войдиили Зарегистрируйся : злоумышленники эксплуатируют критическую уязвимость в ее системах, чтобы обойти процедуру аутентификации. Баг позволяет шифровать файлы с помощью вымогательского вируса Cerber.
Дефект с идентификатором Для просмотра ссылки Войдиили Зарегистрируйся имеет оценку в 9.1 балла из возможных 10 по шкале опасности. Он представляет собой недоработку в механизмах авторизации и затрагивает все существующие версии серверного ПО Confluence и Confluence Data Center. Компания Atlassian, ответственная за разработку, выпустила патч еще 31 октября и настоятельно рекомендовала администраторам как можно скорее обновить системы, чтобы исключить риск полной потери данных.
Для организаций, которые по каким-то причинам не могут мгновенно применить исправления, предлагается ряд мер предосторожности: от резервного копирования данных до временного ограничения доступа в интернет для необновленных серверов.
По информации сервиса мониторинга угроз ShadowServer, более 24 000 серверов Confluence открыты для доступа из сети. Реальное количество систем, уязвимых к атакам через CVE-2023-22518, определить невозможно.
В прошлую пятницу Atlassian сделала еще одно заявление, предупредив, что после публикации эксплойта хакеры стали применять уязвимость на практике:
«Мы получили от клиентов сообщения об активной эксплуатации уязвимости. Пользователям необходимо незамедлительно предпринять меры для защиты своих систем. Если обновление безопасности уже установлено, дополнительные действия не требуются».
Специалисты по кибербезопасности из Для просмотра ссылки Войдиили Зарегистрируйся зафиксировали первые атаки в воскресенье, 5 ноября. Неизвестные проникли в серверы Atlassian Confluence, которые были доступны через интернет. В этом помогли эксплойты, направленные на CVE-2023-22518 и старую критическую уязвимость повышения привилегий — Для просмотра ссылки Войди или Зарегистрируйся (ранее ее эксплуатировали как 0-day).
Злоумышленники запускали команды для загрузки вымогательского ПО Cerber с внешних серверов, расположенных по адресам 193.43.72[.]11 и/или 193.176.179[.]41. После успешной загрузки программа-вымогатель полностью блокировала доступ к системе.
В прошлом месяце к предупреждениям об угрозе эксплуатации CVE-2023-22515 Для просмотра ссылки Войдиили Зарегистрируйся агентство CISA, ФБР и MS-ISAC. Они совместно обратились к клиентам Atlassian с просьбой срочно принять меры, но у некоторых даже это не вызвало опасений. Как указывает отчет Microsoft, баг эксплуатировался хакерами еще с 14 сентября.
Cerber, также известный как CerberImposter, уже использовался в атаках на Atlassian Confluence два года назад. Атаки осуществлялись посредством уязвимости удаленного выполнения кода (CVE-2021-26084), которую до этого использовали для размещения криптовалютных майнеров в системе.
Платформа Atlassian Confluence столкнулась с Для просмотра ссылки Войди
Дефект с идентификатором Для просмотра ссылки Войди
Для организаций, которые по каким-то причинам не могут мгновенно применить исправления, предлагается ряд мер предосторожности: от резервного копирования данных до временного ограничения доступа в интернет для необновленных серверов.
По информации сервиса мониторинга угроз ShadowServer, более 24 000 серверов Confluence открыты для доступа из сети. Реальное количество систем, уязвимых к атакам через CVE-2023-22518, определить невозможно.
В прошлую пятницу Atlassian сделала еще одно заявление, предупредив, что после публикации эксплойта хакеры стали применять уязвимость на практике:
«Мы получили от клиентов сообщения об активной эксплуатации уязвимости. Пользователям необходимо незамедлительно предпринять меры для защиты своих систем. Если обновление безопасности уже установлено, дополнительные действия не требуются».
Специалисты по кибербезопасности из Для просмотра ссылки Войди
Злоумышленники запускали команды для загрузки вымогательского ПО Cerber с внешних серверов, расположенных по адресам 193.43.72[.]11 и/или 193.176.179[.]41. После успешной загрузки программа-вымогатель полностью блокировала доступ к системе.
В прошлом месяце к предупреждениям об угрозе эксплуатации CVE-2023-22515 Для просмотра ссылки Войди
Cerber, также известный как CerberImposter, уже использовался в атаках на Atlassian Confluence два года назад. Атаки осуществлялись посредством уязвимости удаленного выполнения кода (CVE-2021-26084), которую до этого использовали для размещения криптовалютных майнеров в системе.
- Источник новости
- www.securitylab.ru