Varios grupos de ransomware han comenzado a explotar activamente las fallas reveladas recientemente en Atlassian Confluence y Apache ActiveMQ.
Empresa de ciberseguridad Rapid7 dicho observó la explotación de CVE-2023-22518 y CVE-2023-22515 en múltiples entornos de clientes, algunos de los cuales se han aprovechado para la implementación de Cerber (también conocido como C3RB3R) Secuestro de datos.
Ambas vulnerabilidades son críticas y permiten a los actores de amenazas crear cuentas de administrador de Confluence no autorizadas y provocar la pérdida de datos.
Atlassian, el 6 de noviembre actualizó su aviso para señalar que observó «varios exploits activos e informes de actores de amenazas que utilizan ransomware» y que está revisando la puntuación CVSS de la falla de 9,8 a 10,0, lo que indica la gravedad máxima.
La escalada, afirmó la empresa australiana, se debe al cambio en el alcance del ataque.
Las cadenas de ataques implican la explotación masiva de servidores vulnerables de Atlassian Confluence conectados a Internet para recuperar una carga útil maliciosa alojada en un servidor remoto, lo que lleva a la ejecución de la carga útil del ransomware en el servidor comprometido.
Datos recopilados por GreyNoise muestra que los intentos de explotación se originan en tres direcciones IP diferentes ubicadas en Francia, Hong Kong y Rusia.
Mientras tanto, Arctic Wolf Labs ha revelado que se está utilizando como arma una grave falla de ejecución remota de código que afecta a Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para ofrecer un troyano de acceso remoto basado en Go llamado SparkRAT, así como una variante de ransomware que comparte similitudes con DileElPass.
«La evidencia de explotación de CVE-2023-46604 en estado salvaje por parte de una variedad de actores de amenazas con diferentes objetivos demuestra la necesidad de una rápida remediación de esta vulnerabilidad», dijo la firma de ciberseguridad. dicho.