Los actores de amenazas están explotando activamente una falla de seguridad crítica, ahora parcheada, que afecta al centro de datos Confluence de Atlassian y al servidor Confluence para realizar minería ilícita de criptomonedas en instancias susceptibles.
«Los ataques involucran a actores de amenazas que emplean métodos como la implementación de scripts de shell y mineros XMRig, apuntando a puntos finales SSH, matando procesos de minería de criptomonedas competitivos y manteniendo la persistencia a través de trabajos cron», dijo el investigador de Trend Micro Abdelrahman Esmail. dicho.
La vulnerabilidad de seguridad explotada es CVE-2023-22527, un error de máxima gravedad en versiones anteriores de Atlassian Confluence Data Center y Confluence Server que podría permitir a atacantes no autenticados ejecutar código de forma remota. La empresa de software australiana lo solucionó a mediados de enero de 2024.
Trend Micro afirmó que observó una gran cantidad de intentos de explotación contra la falla entre mediados de junio y fines de julio de 2024 que la aprovecharon para colocar el minero XMRig en hosts sin parches. Se dice que al menos tres actores de amenazas diferentes están detrás de la actividad maliciosa:
- Ejecución del minero XMRig a través de una carga útil de archivo ELF utilizando solicitudes especialmente diseñadas
- Utilizando un script de shell que primero termina las campañas de cryptojacking de la competencia (por ejemplo, Kinsing), elimina todos los trabajos cron existentes, desinstala las herramientas de seguridad en la nube de Alibaba y Tencent, y recopila información del sistema, antes de configurar un nuevo trabajo cron que verifica la conectividad del servidor de comando y control (C2) cada cinco minutos y lanza el minero
«Con su explotación continua por parte de actores de amenazas, CVE-2023-22527 presenta un riesgo de seguridad significativo para las organizaciones de todo el mundo», afirmó Esmail.
«Para minimizar los riesgos y amenazas asociados con esta vulnerabilidad, los administradores deben actualizar sus versiones de Confluence Data Center y Confluence Server a las últimas versiones disponibles lo antes posible».