Новости К взлому Atlassian Confluence причастны китайские хакеры Storm-0062

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Три недели безнаказанного доступа: какие цели преследовала группировка?


3ui369ivt8pqx1d3w73l7a3xhj7aa5eb.jpg


Microsoft заявила, что китайская группа хакеров, известная как «Storm-0062» (она же DarkShadow, Oro0lxy), использовала критическую уязвимость в Atlassian Confluence Data Center и Server начиная с 14 сентября 2023 года.

Atlassian уведомила своих клиентов о статусе активного использования уязвимости Для просмотра ссылки Войди или Зарегистрируйся 4 октября 2023 года, но не раскрыла конкретные детали о группах, эксплуатирующих эту уязвимость.

Специалисты по кибербезопасности из Microsoft сегодня поделились дополнительной информацией о действиях Storm-0062 и опубликовали четыре IP-адреса, связанных с атаками.

Учитывая, что обновления безопасности от Atlassian было выпущено в начале октября, Storm-0062, вероятнее всего, использовала данную zero-day уязвимость почти три недели, создавая произвольные учётные записи администратора на открытых конечных точках.

Как полагают эксперты Microsoft, Storm-0062 является государственной хакерской группой, связанной с Министерством государственной безопасности Китая. Она известна своими атаками на программное обеспечение, инженерные разработки, медицинские исследования, а также на правительственные, оборонные и технологические фирмы в США, Великобритании, Австралии и Европе. Цель таких атак, как правило, сбор разведданных.

Для просмотра ссылки Войди или Зарегистрируйся , собранным компанией по кибербезопасности Greynoise, использование CVE-2023-22515 кажется очень ограниченным. Тем не менее, PoC - эксплойт и полная техническая информация об уязвимости, Для просмотра ссылки Войди или Зарегистрируйся исследователями Rapid7 , могут кардинально изменить ситуацию с эксплуатацией.

Специалисты показали, как злоумышленники могут обойти существующие проверки безопасности продукта и какую команду cURL можно использовать для отправки обработанного HTTP -запроса на уязвимые конечные точки.

Этот запрос создаёт новых пользователей-администраторов с паролем, известным злоумышленнику. А благодаря дополнительному параметру, также рассмотренному Rapid7, другие пользователи не получат уведомления о завершении установки, что делает компрометацию незаметной.

Прошла неделя с тех пор, как Atlassian выпустила обновления безопасности для затронутых продуктов, поэтому у пользователей было достаточно времени, чтобы обновить свои установки. Тем не менее, если вы являетесь пользователем Atlassian Confluence, но ещё не обновились, стоит незамедлительно установить одну из следующих версий ПО:

  • 8.3.3 или более позднюю версию;
  • 8.4.3 или более позднюю версию;
  • версия 8.5.2 (для долгосрочной поддержки) или более позднюю.
Стоит отметить, что уязвимость CVE-2023-22515 не затрагивает версии Atlassian Confluence Data Center и Server до 8.0.0, поэтому пользователям более старых версий не нужно предпринимать никаких действий. То же самое относится к экземплярам, размещённым на облачных доменах Atlassian.

Для получения более подробной информации об индикаторах компрометации, инструкциях по обновлению и полном списке затронутых версий продукта можно ознакомиться с Для просмотра ссылки Войди или Зарегистрируйся Atlassian.
 
Источник новости
www.securitylab.ru

Похожие темы