Компанията Atlassian преразгледа оценката на сериозността на неотдавнашната уязвимост с неправилно оторизиране в Confluence Data Center и Server, като повиши оценката по CVSS от 9.1 до максималната 10.
Компанията преработи своята консултация по сигурността за CVE-2023-22518, след като в понеделник разбра, че е настъпила „промяна в обхвата на атаката“.
В първоначалната си консултация доставчикът със седалище в Австралия заяви, че използването на уязвимостта от неавтентифициран потребител може да доведе до „значителна загуба на данни“. В наскоро актуализираната консултация той признава, че атакуващият може да нулира Confluence и да създаде администраторски акаунт.
С администраторски права възможностите на нападателя в компрометирана инстанция се простират далеч отвъд загубата на данни и включват доставка на зловреден софтуер и софтуер за откуп, деактивиране на мерки за сигурност, създаване на акаунти за дългосрочен достъп и др.
В допълнение към повторното изтъкване, че всички версии на Confluence са засегнати от уязвимостта и трябва да бъдат обновени по спешност, Atlassian вече потвърди, че е започнала активна експлоатация на уязвимостта, като повтори неотдавнашните доклади на други представители на индустрията за киберсигурност.
Компанията за сигурност Rapid7 съобщи, че на 5 ноември се е разгърнало възможно събитие за масова експлоатация, след като нейната телеметрия е засекла атаки в „различни клиентски среди“.
„Веригата на изпълнение на процесите в по-голямата си част е последователна в множество среди, което показва възможна масова експлоатация на уязвими сървъри Atlassian Confluence, насочени към интернет“, се казва в публикация в блога.
По-нататък Rapid7 отбеляза, че в много случаи наблюдаваните експлойти са довели до опити за изтегляне на щама Cerber ransomware, които, ако са били успешни, са довели до разгръщането му.
Анализът на бинарния код на ransomware Cerber, извършен от Red Canary, показа, че първото му подаване към VirusTotal е било на 1 ноември, което показва, че опитите за експлоатация вероятно са започнали по-малко от 24 часа след публикуването на първоначалната консултация.
Тя също така смята, че щамът Cerber е произлязъл от миналогодишното изтичане на информация за Conti.
„Бързината, с която се разви тази кампания, със само няколко дни между публикуването на кръпка и активната експлоатация в дивата природа, подчертава колко бързо работят подобни противници, за да идентифицират и да се възползват от механизмите за разпространение на своите продукти“, се казва в доклада на Huntress Labs.
Според Huntress Labs при търсене в Shodan на „Confluence“ се получават повече от 200 000 резултата, а при търсене на Confluence favicon – повече от 5 000. Тези цифри не са показател за броя на уязвимите случаи, но показват колко от тях са изложени на въздействието на интернет.
На уязвимите клиенти се препоръчва незабавно да извършат ъпгрейд, но Atlassian изброява и редица временни смекчаващи мерки, ако ъпгрейдът не е възможен.
Повишената оценка на сериозността на CVE-2023-22518 сега означава, че тя съответства на сериозността на другата голяма уязвимост на Confluence – нулев ден, разкрит по-рано през октомври.
Atlassian също така даде на уязвимостта CVE-2023-22515 критична оценка за сериозност 10/10. Подобно на по-скорошния недостатък, той също е бил използван скоро след първоначалното му разкриване.
Националният институт по стандартизация и технологии (NIST) го счита за малко по-малко сериозен, като вместо това му дава оценка 9,8. NIST все още не е оценил сериозността на CVE-2023-22518; максималната оценка е тази, определена само от Atlassian. ®
