Незащищенные сервера стали популярной мишенью хакеров, желающих получить контроль над системой.
СервисShadowserverфиксирует попытки эксплуатации критической уязвимости CVE-2023-22527, которая позволяет удалённо выполнять код на устаревших версиях серверовAtlassianConfluence.
Компания Atlassianсообщила о проблемена прошлой неделе и отметила, что она затрагивает только версии Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, которые больше не поддерживаются.
УязвимостьCVE-2023-22527(оценка CVSS: 10.0) описывается как ошибка внедрения шаблонов, которая позволяет неавторизованному удалённому злоумышленнику выполнять код (Remote Code Execution,RCE) на уязвимых серверах Confluence Data Center и Confluence Server версий 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0 - 8.5.3. Исправление ошибки доступно для Confluence Data Center 8.6.0 и Server версий 8.5.4 (LTS) и более поздних версий.
Служба мониторинга угроз Shadowserver с 19 январязафиксировала более 39 000попыток эксплуатации CVE-2023-22527, атаки исходили от более чем 600 уникальных IP-адресов. ПоданнымThe DFIR Report, атакующие проверяют обратные вызовы, выполняя команду «whoami», чтобы собрать информацию об уровне доступа и привилегиях на системе.
Вредоносный HTTP-запрос
В настоящее время более 11 200 серверов Atlassian Confluenceдоступнычерез интернет. Однако необязательно, что все они работают на уязвимой версии.
Данные Shadowserver
Atlassian ранее заявила, что не может предоставить конкретных индикаторов компрометации (Indicators of Compromise, IoC), которые помогли бы в обнаружении случаев эксплуатации. Администраторы серверов Confluence должны убедиться, что серверы, которыми они управляют, были обновлены хотя бы до версии, выпущенной после 5 декабря 2023 года.
Организации с устаревшими серверами Confluence могут считать их потенциально скомпрометированными, поэтому нужно искать признаки эксплуатации, проводить тщательную очистку и обновляться до безопасной версии.