Güvenlik araştırmacıları, Atlassian Confluence sunucularının eski sürümlerini etkileyen CVE-2023-22527 Uzaktan Kod Yürütme Kusur Güvenlik Açığı için sömürü girişimlerini gözlemliyor.
Atlassian, geçen hafta güvenlik konusunu açıkladı ve bunun sadece 5 Aralık 2023'ten önce yayınlanan birleşim sürümlerini ve destek dışı sürümleri etkilediğini belirtti.
Kusur kritik bir önem skoruna sahiptir ve kimlik doğrulanmamış uzaktan saldırganların savunmasız izni veri merkezi ve konfluence sunucusu uç noktalarında kod yürütmesine izin veren bir şablon enjeksiyon zayıflığı olarak tanımlanır. , 8.4.x ve 8.5.0 ila 8.5.3.
Confluence Veri Merkezi ve Sunucu Sürümleri 8.5.4 (LTS), 8.6.0 (yalnızca veri merkezi) ve 8.7.1 (yalnızca veri merkezi) ve sonraki sürümler için bir düzeltme kullanılabilir.
Tehdit İzleme Hizmeti Shadowserver, sistemlerinin 600'den fazla benzersiz IP adresinden kaynaklanan saldırılar olan CVE-2023-22527'den yararlanmak için binlerce girişim kaydettiğini bildiriyor.
Hizmet, saldırganların sistemdeki erişim seviyesi ve ayrıcalıklar hakkında bilgi toplamak için 'Whoami' komutunu yürüterek geri arama denediğini söylüyor.
Shadowserver Foundation tarafından kaydedilen toplam sömürü denemesi sayısı, Rus IP adreslerinden gelen saldırıların çoğu 39.000'in üzerindedir.
Shadowserver, tarayıcılarının şu anda kamuya açık internet üzerinden erişilebilen 11.100 Atlassian Confluence örneğini tespit ettiğini bildiriyor. Bununla birlikte, bunların hepsi zorunlu olarak savunmasız bir versiyon çalıştırmaz.
Atlassian Confluence güvenlik açıkları, sofistike devlet destekli tehdit aktörleri ve fırsatçı fidye yazılımı grupları da dahil olmak üzere çeşitli saldırgan türleri tarafından sıklıkla kullanılmaktadır.
CVE-2023-22527 ile ilgili olarak, Atlassian daha önce sömürü vakalarının tespit edilmesine yardımcı olacak özel uzlaşma göstergeleri (IOCS) sağlayamadığını söyledi.
Confluence Server Yöneticileri, yönettikleri uç noktaların en azından 5 Aralık 2023'ten sonra yayınlanan bir sürüme güncellendiğinden emin olmalıdır.
Eski izdiham örnekleri olan kuruluşlar için tavsiye, onlara potansiyel olarak tehlikeye atılmış olarak ele alınmak, sömürü belirtileri aramak, kapsamlı bir temizlik yapmak ve güvenli bir versiyona güncellemektir.
Atlassian, eski Confluence sürümlerinde kritik RCE kusurunu uyarıyor
Korunmasız Confluence Sunucuları Bulmak için RCE Kusurlu Apache Ofbiz Kusurlu
Atlassian yamaları Kritik RCE kusurları birden çok ürün boyunca
Bilgisayar korsanları, POC POC'yi kullanarak kritik Apache Struts kusurlarını kullanıyor
Sophos Backports RCE Desteklenmemiş Güvenlik Duvarlarına Saldırılardan Sonra Fix
Kaynak: Bleeping Computer