Una falla de seguridad crítica recientemente parcheada en los productos Atlassian Confluence Server y Data Center se está utilizando activamente como arma en ataques del mundo real para eliminar mineros de criptomonedas y cargas útiles de ransomware.
En al menos dos de los incidentes relacionados con Windows observados por el proveedor de seguridad cibernética Sophos, los adversarios explotaron la vulnerabilidad para entregar el ransomware Cerber y un cripto minero llamado z0miner en las redes de las víctimas.
El bicho (CVE-2022-26134, puntaje CVSS: 9.8), que fue parcheado por Atlassian el 3 de junio de 2022, permite a un actor no autenticado inyectar código malicioso que allana el camino para la ejecución remota de código (RCE) en las instalaciones afectadas de la suite de colaboración. Todas las versiones compatibles de Confluence Server y Data Center se ven afectadas.
Otro malware notable lanzado como parte de instancias dispares de actividad de ataque incluye variantes de bot Mirai y Kinsing, un paquete malicioso llamado pwnkit y Cobalt Strike a través de un shell web implementado después de obtener un punto de apoyo inicial en el sistema comprometido.
«La vulnerabilidad, CVE-2022-26134, permite que un atacante genere un shell accesible de forma remota, en la memoria, sin escribir nada en el almacenamiento local del servidor», dijo Andrew Brandt, investigador principal de seguridad de Sophos. dijo.
La divulgación se superpone con advertencias similares de Microsoft, que reveló la semana pasada que «múltiples adversarios y actores del estado-nación, incluidos DEV-0401 y DEV-0234, aprovechan la vulnerabilidad CVE-2022-26134 de Atlassian Confluence RCE».
DEV-0401, descrito por Microsoft como un «lobo solitario con sede en China convertido en afiliado de LockBit 2.0», también se vinculó previamente a implementaciones de ransomware dirigidas a sistemas orientados a Internet que ejecutan VMWare Horizon (Log4Shell), Confluence (CVE-2021-26084), y servidores Exchange locales (ProxyShell).
El desarrollo es emblemático de una tendencia en curso en la que los actores de amenazas capitalizan cada vez más las vulnerabilidades críticas recientemente reveladas en lugar de explotar fallas de software fechadas y conocidas públicamente en un amplio espectro de objetivos.