Kötü niyetli aktörler, Atlassian Confluence Veri Merkezi ve Confluence Sunucusunu etkileyen, yakın zamanda açıklanan kritik bir güvenlik açığından, kamuya açıklandıktan sonraki üç gün içinde aktif olarak yararlanmaya başladı.
Şu şekilde izlendi: CVE-2023-22527 (CVSS puanı: 10,0), güvenlik açığı yazılımın güncel olmayan sürümlerini etkileyerek kimliği doğrulanmamış saldırganların duyarlı kurulumlarda uzaktan kod yürütmesine olanak tanıyor.
Eksiklik, 5 Aralık 2023’ten önce yayımlanan Confluence Data Center ve Server 8 sürümlerinin yanı sıra 8.4.5’i de etkiliyor.
Ancak her ikisine göre, kusurun kamuoyunun bilgisine sunulmasından sadece birkaç gün sonra, 19 Ocak gibi erken bir tarihte 600’den fazla benzersiz IP adresinden CVE-2023-22527’yi hedef alan yaklaşık 40.000 istismar girişimi kaydedildi. Shadowserver Vakfı Ve DFIR Raporu.
Faaliyet şu anda sınırlı “geri arama girişimleri ve ‘whoami’ yürütme testleri” ile sınırlı, bu da tehdit aktörlerinin daha sonraki istismarlar için fırsatçı bir şekilde savunmasız sunucuları taradığını gösteriyor.
Saldırganın IP adreslerinin çoğunluğu Rusya’dan (22.674), ardından Singapur, Hong Kong, ABD, Çin, Hindistan, Brezilya, Tayvan, Japonya ve Ekvador geliyor.
Üzerinde 11.000 Atlassian örneği 21 Ocak 2024 itibarıyla internet üzerinden erişilebilir olduğu tespit edilmiştir ancak bunların kaçının CVE-2023-22527’ye karşı savunmasız olduğu şu anda bilinmemektedir.
ProjectDiscovery araştırmacıları Rahul Maini ve Harsh Jaiswal, “CVE-2023-22527, Atlassian’ın Confluence Sunucusu ve Veri Merkezinde kritik bir güvenlik açığıdır.” söz konusu kusurun teknik analizinde.
“Bu güvenlik açığı, kimliği doğrulanmamış saldırganların Confluence örneğine OGNL ifadeleri eklemesine izin verme ve böylece rastgele kod ve sistem komutlarının yürütülmesine olanak sağlama potansiyeline sahiptir.”