Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Злоумышленники начали активно использовать недавно обнаруженную критическую уязвимость в системе безопасности, влияющую на дата-центр Atlassian Confluence и сервер Confluence Server, в течение трех дней после публичного раскрытия.
Отслеживаемая как CVE-2023-22527 (оценка CVSS: 10.0), уязвимость затрагивает устаревшие версии программного обеспечения, позволяя злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять код на уязвимых установках.
Недостаток затрагивает версии Confluence Data Center и Server 8, выпущенные до 5 декабря 2023 года, а также 8.4.5.
Но всего через несколько дней после того, как ошибка стала достоянием общественности, уже 19 января было зарегистрировано около 40 000 попыток эксплуатации, нацеленных на CVE-2023-22527, с более чем 600 уникальных IP-адресов, согласно как The Shadowserver Foundation, так и отчету DFIR.
В настоящее время активность ограничена "проверкой попыток обратного вызова и выполнением "whoami"", что предполагает, что субъекты угрозы оппортунистически сканируют уязвимые серверы для последующей эксплуатации.
Большинство IP-адресов злоумышленников находятся в России (22 674), за ними следуют Сингапур, Гонконг, США, Китай, Индия, Бразилия, Тайвань, Япония и Эквадор.
По состоянию на 21 января 2024 года было обнаружено, что более 11 000 экземпляров Atlassian доступны через Интернет, хотя в настоящее время неизвестно, сколько из них уязвимы для CVE-2023-22527.
"CVE-2023-22527 является критической уязвимостью в сервере Confluence и Центре обработки данных Atlassian", - сказали исследователи ProjectDiscovery Рахул Майни и Харш Джайсвал в техническом анализе уязвимости.
"Эта уязвимость потенциально позволяет злоумышленникам, не прошедшим проверку подлинности, внедрять выражения OGNL в экземпляр Confluence, тем самым позволяя выполнять произвольный код и системные команды".
Отслеживаемая как CVE-2023-22527 (оценка CVSS: 10.0), уязвимость затрагивает устаревшие версии программного обеспечения, позволяя злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять код на уязвимых установках.
Недостаток затрагивает версии Confluence Data Center и Server 8, выпущенные до 5 декабря 2023 года, а также 8.4.5.
Но всего через несколько дней после того, как ошибка стала достоянием общественности, уже 19 января было зарегистрировано около 40 000 попыток эксплуатации, нацеленных на CVE-2023-22527, с более чем 600 уникальных IP-адресов, согласно как The Shadowserver Foundation, так и отчету DFIR.
В настоящее время активность ограничена "проверкой попыток обратного вызова и выполнением "whoami"", что предполагает, что субъекты угрозы оппортунистически сканируют уязвимые серверы для последующей эксплуатации.
Большинство IP-адресов злоумышленников находятся в России (22 674), за ними следуют Сингапур, Гонконг, США, Китай, Индия, Бразилия, Тайвань, Япония и Эквадор.
По состоянию на 21 января 2024 года было обнаружено, что более 11 000 экземпляров Atlassian доступны через Интернет, хотя в настоящее время неизвестно, сколько из них уязвимы для CVE-2023-22527.
"CVE-2023-22527 является критической уязвимостью в сервере Confluence и Центре обработки данных Atlassian", - сказали исследователи ProjectDiscovery Рахул Майни и Харш Джайсвал в техническом анализе уязвимости.
"Эта уязвимость потенциально позволяет злоумышленникам, не прошедшим проверку подлинности, внедрять выражения OGNL в экземпляр Confluence, тем самым позволяя выполнять произвольный код и системные команды".
