Microsoft передает эстафету активно эксплуатирующихся непропат | ISACARuSec

Microsoft передает эстафету активно эксплуатирующихся непропатченных 0-day Atlassian.

Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.

Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.

В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.

После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.

Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.

К сожалению, кроме рубильника других способов нивелировать уязвимость нет.