Основы Интернет - технологий.

По словам ИБ-специалистов, критическая уязвимость в Atlassian Confluence, которая позволяет уничтожать данные на уязвимых серверах (CVE-2023-22518), уже активно используется злоумышленниками для установки программ-вымогателей. Напомним, что эта проблема получила идентификатор CVE-2023-22518 (9,1 балла из 10 по шкале CVSS) и затрагивает все версии Confluence Data Center и Confluence Server. Уязвимость связана с некорректной авторизацией, и еще на прошлой неделе разработчики предупреждали, что злоумышленники могут использовать баг уничтожения данных на уязвимых серверах. К тому же вскоре в компании сообщили, что для уязвимости уже существует общедоступный эксплоит, призывая всех как можно скорее установить патчи. Согласно сообщениям ИБ-исследователей, «чтобы перезагрузить сервер и получить доступ администратора достаточно всего одного запроса». Уязвимость была устранена в составе Confluence Data Center и Server версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1. Как теперь сообщают аналитики из компании GreyNoise, почти сразу после появления эксплоита, 5 ноября 2023 года, злоумышленники начали эксплуатировать свежий баг в атаках. Компания Rapid7 также сообщает об атаках на уязвимые серверы Atlassian Confluence с использованием эксплоитов для CVE-2023-22518 и более старый уязвимости повышения привилегий (CVE-2023-22515), ранее уже использовавшейся хакерами как 0-day. «По состоянию на 5 ноября 2023 года Rapid7 Managed Detection and Response (MDR) зафиксировала эксплуатацию Atlassian Confluence в нескольких клиентских средах, в том числе для развертывания программ-вымогателей, — предупреждают в компании. — В нескольких цепочках атак Rapid7 наблюдала выполнение команд после эксплуатации для загрузки вредоносной полезной нагрузки, размещенной по адресу 193.43.72_