Aproximadamente a esta hora la semana pasada, los actores de amenazas comenzaron a aprovechar silenciosamente una vulnerabilidad previamente desconocida en el software de Atlassian que les dio un control casi completo sobre una pequeña cantidad de servidores. Desde el jueves, las explotaciones activas de la vulnerabilidad se han multiplicado, creando un frenesí semiorganizado entre los grupos criminales competidores.
“Está claro que múltiples grupos de amenazas y actores individuales tienen el exploit y lo han estado usando de diferentes maneras”, dijo Steven Adair, presidente de Volexity, la firma de seguridad que descubrió la vulnerabilidad de día cero
Está claro que múltiples grupos de amenazas y actores individuales tienen el exploit y lo han estado usando de diferentes maneras. Algunos son bastante descuidados y otros son un poco más sigilosos. Cargar archivos de clase en la memoria y escribir shells JSP son los más populares que hemos visto hasta ahora.
— Steven Adair (@stevenadair) 3 de junio de 2022
Adair también dijo que las verticales de la industria que se están viendo afectadas “están bastante extendidas. Esta es una batalla campal en la que la explotación parece estar coordinada”.
CVE-2022-26134, a medida que se rastrea la vulnerabilidad, permite la ejecución remota de código no autenticado en servidores que ejecutan todas las versiones compatibles de Confluence Server y Confluence Data Center. En su aviso, Volexity calificó la vulnerabilidad como “peligrosa y trivialmente explotada”. Es probable que la vulnerabilidad también esté presente en versiones de soporte a largo plazo y sin soporte, firma de seguridad Rapid7 dijo.
Los investigadores de Volexity escribieron:
Al analizar inicialmente el exploit, Volexity notó que se parecía a las vulnerabilidades anteriores que también se han explotado para obtener la ejecución remota de código. Estos tipos de vulnerabilidades son peligrosos, ya que los atacantes pueden ejecutar comandos y obtener el control total de un sistema vulnerable sin credenciales, siempre que se puedan realizar solicitudes web al sistema Confluence Server. También se debe tener en cuenta que CVE-2022-26134 parece ser otra vulnerabilidad de inyección de comandos. Este tipo de vulnerabilidad es grave y exige una atención significativa.
Los actores de amenazas están explotando la vulnerabilidad para instalar el webshell de Chopper y probablemente otros tipos de malware. Aquí está la esperanza de que las organizaciones vulnerables ya hayan reparado o abordado este agujero y, si no, deseándoles buena suerte este fin de semana. El aviso de Atlassian es aquí.