El día 0 crítico de Atlassian se explota activamente. Estás parcheado, ¿no?

Alrededor de este tiempo la semana pasada, los actores de amenazas comenzaron a aprovechar una vulnerabilidad previamente desconocida en el software de Atlassian que les dio un control casi total sobre una pequeña cantidad de servidores. A partir del jueves, se multiplicaron las explotaciones activas de la vulnerabilidad, lo que provocó un frenesí semiorganizado entre los grupos criminales competidores. «Está claro que múltiples grupos de amenazas y actores individuales tienen el exploit y lo han usado de diferentes maneras», dijo Steven Adair, presidente de Volexity, la firma de seguridad que descubrió la vulnerabilidad de día cero al informar sobre la brecha de seguridad. Los clientes respondieron el Día de los Caídos. fin de semana. «Algunos son bastante descuidados y otros son un poco más sigilosos». su tuit llegó un día después de que su compañía publicara el informe que detallaba la vulnerabilidad.

Adair también dijo que las verticales de la industria afectadas están «bastante extendidas». Este es un juego gratuito donde la explotación parece estar coordinada.” Mientras se rastrea la vulnerabilidad, CVE-2022-26134 permite la ejecución remota de código no autenticado en servidores que ejecutan todas las versiones compatibles de Confluence Server y Confluence Data Center. En su aviso, Volexity calificó la vulnerabilidad de «peligrosa y trivialmente explotada». También es probable que la vulnerabilidad exista en versiones sin soporte y con soporte a largo plazo, dijo la firma de seguridad Rapid7. Los investigadores de Volexity escribieron:

Tras el análisis inicial del exploit, Volexity descubrió que parecía similar a las vulnerabilidades anteriores que también se explotaron para lograr la ejecución remota de código. Estos tipos de vulnerabilidades son peligrosos porque siempre que se puedan realizar solicitudes web al sistema del servidor de Confluence, los atacantes pueden ejecutar comandos sin credenciales y tomar el control total de un sistema vulnerable. También se debe tener en cuenta que CVE-2022-26134 parece ser otra vulnerabilidad de inyección de comandos. Este tipo de vulnerabilidad es grave y requiere una atención significativa.

Los actores de amenazas explotan la vulnerabilidad para instalar el chopper webshell y probablemente otros tipos de malware. Esperamos que las organizaciones vulnerables ya hayan parchado o arreglado este agujero y, de lo contrario, les deseamos la mejor de las suertes este fin de semana. La recomendación de Atlassian está aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.