Siber Muhbir

Tehdit istihbarat firması GreyNoise, Atlassian Confluence Veri Merkezi ve Confluence Sunucusu'ndaki yeni bir güvenlik açığını hedef alan ilk vahşi istismar girişimlerinin hafta sonu gözlemlendiği konusunda uyardı.

Atlassian, bir hafta önce yamalanan, CVE-2023-22518 (CVSS puanı 9.1) olarak izlenen kritik güvenlik açığının, "önemli veri kaybına" yol açabilecek uygunsuz bir yetkilendirme kusuru olduğu konusunda uyardı. Sorun tüm Confluence sürümlerini etkiler.

Yamayı yayınladıktan beş günden kısa bir süre sonra Atlassian, müşterilere "güvenlik açığı hakkında kritik bilgilerin" kamuya açıklandığını ve istismar riskinin önemli ölçüde arttığını bildiren ikinci bir uyarı yayınladı.

Kurumsal yazılım üreticisi, ProjectDiscovery'nin kusurla ilgili teknik bilgileri ve olası istismar yöntemleriyle ilgili ayrıntıları yayınladığı gün yeni bir uyarı yayınladı.

Cuma günü Atlassian, güvenlik açığının aktif olarak istismar altında olduğu konusunda uyarmak için ilk danışma belgesini tekrar güncelledi.

"Aktif bir istismarla ilgili bir müşteri raporu aldık. Müşteriler, örneklerini korumak için hemen harekete geçmelidir. Yamayı zaten uyguladıysanız, başka bir işlem yapmanıza gerek yoktur, "diyor şirketin güncellenmiş tavsiyesi.

Hafta sonu boyunca GreyNoise'un tarayıcıları, ABD, Tayvan, Ukrayna, Gürcistan, Letonya ve Moldova'daki kuruluşları hedef alan CVE-2023-22518'in vahşi istismarını yakaladı.

GreyNoise CEO'su ve kurucusu Andrew Morris Pazar günü yaptığı açıklamada, saldırıların üç farklı IP adresinden kaynaklandığını belirtti.

Bu sorun, güvenlik açığı bulunan Confluence sunucularından veri sızdırmak için kullanılamasa da, kimlik doğrulaması olmadan bir örneğin durumunu saldırgan tarafından sağlanan verilerle değiştirmek için kullanılabilir.

Rapid7 de web üzerinden erişilebilen Confluence sunucularından yararlanmaya yönelik birden fazla girişim gözlemledi ve saldırıların en azından bir kısmının CVE-2023-22518'i hedef aldığını, diğerlerinin ise 2023 Ekim'de ortaya çıkan kritik bir Confluence sıfır günü olan CVE-22515-4'i hedef aldığını söylüyor.

Rapid7, 6 Kasım tarihli bir gönderide, "Süreç yürütme zinciri, çoğunlukla, birden fazla ortamda tutarlıdır ve bu da savunmasız internete bakan Atlassian Confluence sunucularının olası toplu istismarını gösterir" diyor.

Siber güvenlik firması, birden fazla saldırı zincirinin, kötü amaçlı bir yükü indirmek için komutların istismar sonrası yürütülmesini içerdiğini ve bunun da bir Cerberus fidye yazılımı bulaşmasına yol açtığını belirtiyor.

Confluence Veri Merkezi ve Sunucu sürümleri 7.19.16, 8.3.4, 8.4.4, 8.5.3 ve 8.6.1, CVE-2023-22518'i ele almak için geçen hafta yayınlandı. Tüm kullanıcılara, örneklerini mümkün olan en kısa sürede güncellemeleri veya en azından yedekler oluşturmaları ve yamalar uygulanana kadar savunmasız örneklere internet erişimini engellemeleri önerilir.