Microsoft, 14 Eylül 2023'ten beri Atlassian Confluence Veri Merkezi ve Sunucusunda 'Storm-0062' (diğer adıyla Darkshadow veya Oro0LXY) olarak izlenen bir Çin destekli tehdit grubunun sıfır gününü kullandığını söylüyor.
Atlassian, 4 Ekim 2023'te açıkladığında CVE-2023-22515'in aktif sömürü durumu hakkında müşterilere zaten bildirmişti. Yine de şirket, vahşi doğada kırılganlıktan yararlanan tehdit grupları hakkında belirli ayrıntıları sakladı.
Bugün, Microsoft Tehdit İstihbarat Analistleri Storm-0062'nin CVE-2023-22515'in sömürüsüne katılımı hakkında daha fazla bilgi paylaştı ve Twitter'da bir konu üzerinde dört rahatsız edici IP adresi yayınladı.
Atlassian'ın Güvenlik güncellemelerini Ekim ayı başlarında kullanılabilir hale getirdiği göz önüne alındığında, Storm-0062, açıkta kalan uç noktalarda keyfi yönetici hesapları oluşturarak yaklaşık üç hafta boyunca kusurları sıfır gün hatası olarak kullandı.
Storm-0062, Çin Devlet Güvenliği Bakanlığı'na bağlı ve ABD, İngiltere, Avustralya ve çeşitli Avrupa ülkelerinde istihbarat toplamak için yazılım, mühendislik, tıbbi araştırma, hükümet, savunma ve teknoloji firmalarını hedeflemek için bilinen bir devlet hack grubudur.
Amerika Birleşik Devletleri, Temmuz 2020'de Çinli hackerları, dünya çapında hükümet kuruluşlarını ve şirketleri hackleyerek terabayt veri çalmakla suçladı.
Siber güvenlik şirketi Greynoise tarafından toplanan verilere göre, CVE-2023-22515'in sömürülmesi çok sınırlı görünüyor.
Bununla birlikte, bir kavram kanıtı (POC) istismar ve dün Rapid7 araştırmacıları tarafından yayınlanan güvenlik açığı hakkında tam teknik detaylar yakında sömürü manzarasını değiştirebilir.
RAPID7 analistleri, saldırganların ürün üzerindeki mevcut güvenlik kontrollerini nasıl atlayabileceğini ve hangi Curl komutunun saldırgan tarafından bilinen bir şifreyle yeni yönetici kullanıcıları oluşturan savunmasız uç noktalara hazırlanmış bir HTTP isteği göndermek için kullanılabileceğini gösterdi.
Ayrıntılı yazıları ayrıca, diğer kullanıcıların kurulumun tamamlanması hakkında bir bildirim almamasını sağlayan ve uzlaşmayı gizli hale getiren ek bir istek içerir.
Atlassian'ın etkilenen ürünler için güvenlik güncellemelerini sunmasından bu yana bir hafta geçti, bu nedenle kullanıcılar POC istismarının halka açık yayınlanmasından önce duruma cevap vermek için yeterli zamana sahipti.
Henüz yapmadıysanız, aşağıdaki sabit Atlassian Confluence sürümlerinden birine yükseltmeniz önerilir:
CVE-2023-22515 Kusurunun 8.0.0'dan önce Confluence Veri Merkezi ve Sunucu sürümlerini etkilemediğini, bu nedenle eski sürümlerin kullanıcılarının herhangi bir işlem yapmasına gerek yok.
Aynı şey, bu saldırılara karşı savunmasız olmayan Atlassian.NET etki alanlarındaki Atlassian tarafından barındırılan örnekler için de geçerlidir.
Uzlaşma, yükseltme talimatları ve etkilenen ürün sürümlerinin tam bir listesi hakkında daha fazla bilgi için Atlassian'ın güvenlik bültenini kontrol edin.
Atlassian Yamaları Kritik İzdi Saldırılarda Sıralı Gün Sömürüldü
Microsoft Ekim 2023 Patch Salı 3 sıfır gün, 104 kusur düzeltiyor
Qualcomm, bilgisayar korsanlarının GPU, DSP sürücülerinde 3 sıfır gün sömürdüğünü söylüyor
Trend Micro Saldırılarda kullanılan uç nokta koruması sıfır gün
Apple Backports Blastpass eski iPhone'lara sıfır gün düzeltmesi
Kaynak: Bleeping Computer