Примерно в это же время на прошлой неделе злоумышленники начали незаметно использовать ранее неизвестную уязвимость в программном обеспечении Atlassian, которая дала им почти полный контроль над небольшим количеством серверов. С четверга число активных эксплойтов уязвимости увеличилось как грибы, вызвав полуорганизованное безумие среди конкурирующих преступных групп.
«Очевидно, что несколько групп угроз и отдельные субъекты имеют эксплойт и используют его по-разному», — сказал Стивен Адэр, президент Volexity, охранной фирмы, которая обнаружила уязвимость нулевого дня, реагируя на взлом клиента. Выходные, посвященные Дню памяти. «Некоторые довольно небрежны, а другие немного скрытнее». Его твит на следующий день после того, как его фирма опубликовала отчет с подробным описанием уязвимости.
Очевидно, что несколько групп угроз и отдельные субъекты имеют эксплойт и используют его по-разному. Некоторые из них довольно неаккуратны, а другие немного более скрытны. Загрузка файлов классов в память и написание оболочек JSP — самые популярные из тех, что мы видели до сих пор.
— Стивен Адэр (@stevenadair) 3 июня 2022 г.
Адэр также сказал, что затронутые отраслевые вертикали «довольно широко распространены. Это общедоступная эксплуатация, которая кажется скоординированной».
CVE-2022-26134, поскольку уязвимость отслеживается, позволяет выполнять удаленное выполнение кода без проверки подлинности на серверах, на которых работают все поддерживаемые версии Confluence Server и Confluence Data Center. В своем бюллетене Volexity назвала уязвимость «опасной и используемой тривиально». Уязвимость, вероятно, также присутствует в неподдерживаемых версиях и версиях с долгосрочной поддержкой, сообщила компания Rapid7, занимающаяся безопасностью.
Исследователи волатильности писали:
При первоначальном анализе эксплойта Volexity отметила, что он похож на предыдущие уязвимости, которые также использовались для удаленного выполнения кода. Эти типы уязвимостей опасны, так как злоумышленники могут выполнять команды и получать полный контроль над уязвимой системой без учетных данных, если к системе Confluence Server можно отправлять веб-запросы. Следует также отметить, что CVE-2022-26134 является еще одной уязвимостью внедрения команд. Этот тип уязвимости является серьезным и требует значительного внимания.
Злоумышленники используют уязвимость для установки веб-оболочки Chopper и, вероятно, других типов вредоносных программ. Мы надеемся, что уязвимые организации уже исправили или иным образом устранили эту дыру, и, если нет, желаю им удачи в эти выходные. Рекомендации Atlassian здесь.