Rudel 395 Опубликовано 16 октября, 2023 Microsoft заявила, что китайская группа хакеров, известная как «Storm-0062» (она же DarkShadow, Oro0lxy), использовала критическую уязвимость в Atlassian Confluence Data Center и Server начиная с 14 сентября 2023 года. Atlassian уведомила своих клиентов о статусе активного использования уязвимости CVE-2023-22515 4 октября 2023 года, но не раскрыла конкретные детали о группах, эксплуатирующих эту уязвимость. Специалисты по кибербезопасности из Microsoft сегодня поделились дополнительной информацией о действиях Storm-0062 и опубликовали четыре IP-адреса, связанных с атаками. Учитывая, что обновления безопасности от Atlassian было выпущено в начале октября, Storm-0062, вероятнее всего, использовала данную zero-day уязвимость почти три недели, создавая произвольные учётные записи администратора на открытых конечных точках. Как полагают эксперты Microsoft, Storm-0062 является государственной хакерской группой, связанной с Министерством государственной безопасности Китая. Она известна своими атаками на программное обеспечение, инженерные разработки, медицинские исследования, а также на правительственные, оборонные и технологические фирмы в США, Великобритании, Австралии и Европе. Цель таких атак, как правило, сбор разведданных.Согласно данным , собранным компанией по кибербезопасности Greynoise, использование CVE-2023-22515 кажется очень ограниченным. Тем не менее, PoC-эксплойт и полная техническая информация об уязвимости, опубликованная недавно исследователями Rapid7, могут кардинально изменить ситуацию с эксплуатацией. Специалисты показали, как злоумышленники могут обойти существующие проверки безопасности продукта и какую команду cURL можно использовать для отправки обработанного HTTP-запроса на уязвимые конечные точки. Этот запрос создаёт новых пользователей-администраторов с паролем, известным злоумышленнику. А благодаря дополнительному параметру, также рассмотренному Rapid7, другие пользователи не получат уведомления о завершении установки, что делает компрометацию незаметной. Прошла неделя с тех пор, как Atlassian выпустила обновления безопасности для затронутых продуктов, поэтому у пользователей было достаточно времени, чтобы обновить свои установки. Тем не менее, если вы являетесь пользователем Atlassian Confluence, но ещё не обновились, стоит незамедлительно установить одну из следующих версий ПО: 8.3.3 или более позднюю версию; 8.4.3 или более позднюю версию; версия 8.5.2 (для долгосрочной поддержки) или более позднюю. Стоит отметить, что уязвимость CVE-2023-22515 не затрагивает версии Atlassian Confluence Data Center и Server до 8.0.0, поэтому пользователям более старых версий не нужно предпринимать никаких действий. То же самое относится к экземплярам, размещённым на облачных доменах Atlassian. Для получения более подробной информации об индикаторах компрометации, инструкциях по обновлению и полном списке затронутых версий продукта можно ознакомиться с бюллетенем по безопасности Atlassian. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты