Bir tehdit aktörü, yakın zamanda keşfedilen Atlassian Confluence sıfır gün açığından (CVE-2022-26134) yararlanarak güvenliği ihlal edilmiş 50 savunmasız ağa erişim satıyor.
Bu keşif Rapid7 Tehdit İstihbaratı ekibi tarafından yapıldı ve The Record tarafından açıklandı. Rus dilindeki forum XSS'de savunmasız ağlara erişim teklif edildi.
Rapid7 uzmanlarına göre, satıcı bilgisayar korsanlığı forumunda iyi bir üne sahip, ayrıca yöneticileri yüklemelerine yama yapmaya çağırıyorlar. Rapid7, 50 şirketi tespit etmeye ve onları bilgilendirmeye çalışıyor.
Atlassian, Mayıs ayının sonunda, CVE-2022-26134 olarak izlenen, Confluence Sunucusu ve Veri Merkezi tarafından desteklenen tüm sürümleri etkileyen ve vahşi saldırılarda aktif olarak kullanılan kritik bir yama uygulanmamış uzaktan kod yürütme güvenlik açığı konusunda uyardı.
Atlassian, Confluence Data Center ve Server'da kritik önemdeki, kimliği doğrulanmamış uzaktan kod yürütme güvenlik açığından şu anda etkin olarak yararlanıldığı konusunda bilgilendirildi. Güvenlik açığıyla ilgili daha fazla ayrıntı, bir düzeltme bulunana kadar saklanıyor.” şirket tarafından yayınlanan danışma belgesini okur.
Güvenlik açığı, Anma Günü haftasonunu ele geçiren bir saldırıya ilişkin soruşturmanın bir parçası olarak sorunu keşfeden güvenlik şirketi Volexity tarafından bildirildi.
Rapid7'nin keşfine dönersek, kötü haber şu ki, 50 ağa erişim sunan satıcı, ayrıca 10.000 ek savunmasız makine listesine erişim satmayı planlıyor.
Confluence sunucuları çalıştıran kuruluşlar, ihlal edilip edilmediğini belirlemek için ağlarında güvenlik ihlali göstergeleri de aramalıdır.
Fidye yazılımı çeteleri, Atlassian Confluence Sunucusu ve Veri Merkezi'ndeki CVE-2022-26134 uzaktan kod yürütme (RCE) kusurundan aktif olarak yararlanıyor.
Güvenlik firması Prodaft'tan araştırmacılar, ilk önce AvosLocker fidye yazılımı operatörlerinin Atlassian Confluence hatasını kullanmaya başladığını bildirdiler, BleepingComputer bildirdi.
Araştırmacılar, AvosLocker operasyonunun kontrol panelinde bir "birleşme kampanyası" yaratıldığını fark ettiler.
BleepingComputer ayrıca Cerber2021 fidye yazılımının (aka CerberImposter) arkasındaki operatörlerin son saldırılarda Confluence kusurundan aktif olarak yararlandığını bildirdi.