13.10.2023 | К взлому Atlassian Confluence причастны китайские хакеры Storm-0062 |
Microsoft заявила, что китайская группа хакеров, известная как «Storm-0062» (она же DarkShadow, Oro0lxy), использовала критическую уязвимость в Atlassian Confluence Data Center и Server начиная с 14 сентября 2023 года. Atlassian уведомила своих клиентов о статусе активного использования уязвимости CVE-2023-22515 4 октября 2023 года, но не раскрыла конкретные детали о группах, эксплуатирующих эту уязвимость. Специалисты по кибербезопасности из Microsoft сегодня поделились дополнительной информацией о действиях Storm-0062 и опубликовали четыре IP-адреса, связанных с атаками. Учитывая, что обновления безопасности от Atlassian было выпущено в начале октября, Storm-0062, вероятнее всего, использовала данную zero-day уязвимость почти три недели, создавая произвольные учётные записи администратора на открытых конечных точках. Как полагают эксперты Microsoft, Storm-0062 является государственной хакерской группой, связанной с Министерством государственной безопасности Китая. Она известна своими атаками на программное обеспечение, инженерные разработки, медицинские исследования, а также на правительственные, оборонные и технологические фирмы в США, Великобритании, Австралии и Европе. Цель таких атак, как правило, сбор разведданных. Согласно данным , собранным компанией по кибербезопасности Greynoise, использование CVE-2023-22515 кажется очень ограниченным. Тем не менее, PoC - эксплойт и полная техническая информация об уязвимости, опубликованная недавно исследователями Rapid7 , могут кардинально изменить ситуацию с эксплуатацией. Специалисты показали, как злоумышленники могут обойти существующие проверки безопасности продукта и какую команду cURL можно использовать для отправки обработанного HTTP -запроса на уязвимые конечные точки. Этот запрос создаёт новых пользователей-администраторов с паролем, известным злоумышленнику. А благодаря дополнительному параметру, также рассмотренному Rapid7, другие пользователи не получат уведомления о завершении установки, что делает компрометацию незаметной. Прошла неделя с тех пор, как Atlassian выпустила обновления безопасности для затронутых продуктов, поэтому у пользователей было достаточно времени, чтобы обновить свои установки. Тем не менее, если вы являетесь пользователем Atlassian Confluence, но ещё не обновились, стоит незамедлительно установить одну из следующих версий ПО:
Стоит отметить, что уязвимость CVE-2023-22515 не затрагивает версии Atlassian Confluence Data Center и Server до 8.0.0, поэтому пользователям более старых версий не нужно предпринимать никаких действий. То же самое относится к экземплярам, размещённым на облачных доменах Atlassian. Для получения более подробной информации об индикаторах компрометации, инструкциях по обновлению и полном списке затронутых версий продукта можно ознакомиться с бюллетенем по безопасности Atlassian. |
Проверить безопасность сайта