Plusieurs groupes de ransomwares ont commencé à exploiter activement les failles récemment révélées dans Atlassian Confluence et Apache ActiveMQ.
Entreprise de cybersécurité Rapid7 dit il a observé l’exploitation de CVE-2023-22518 et CVE-2023-22515 dans plusieurs environnements clients, dont certains ont été exploités pour le déploiement de Cerber (alias C3RB3R) rançongiciel.
Les deux vulnérabilités sont critiques, car elles permettent aux acteurs malveillants de créer des comptes d’administrateur Confluence non autorisés et d’entraîner une perte de données.
Atlassian, le 6 novembre a mis à jour son avis à noter qu’il a observé « plusieurs exploits actifs et rapports d’acteurs menaçants utilisant des ransomwares » et qu’il révise le score CVSS de la faille de 9,8 à 10,0, indiquant une gravité maximale.
L’escalade, selon la société australienne, est due au changement dans l’ampleur de l’attaque.
Les chaînes d’attaque impliquent l’exploitation massive de serveurs Atlassian Confluence vulnérables accessibles sur Internet pour récupérer une charge utile malveillante hébergée sur un serveur distant, conduisant à l’exécution de la charge utile du ransomware sur le serveur compromis.
Données recueillies par GreyNoise montre que les tentatives d’exploitation proviennent de trois adresses IP différentes situées en France, à Hong Kong et en Russie.
Pendant ce temps, Arctic Wolf Labs a révélé qu’une grave faille d’exécution de code à distance affectant Apache ActiveMQ (CVE-2023-46604, score CVSS : 10,0) était en train d’être utilisée pour fournir un cheval de Troie d’accès à distance basé sur Go appelé SparkRAT ainsi qu’une variante de ransomware qui partage des similitudes avec TellYouThePass.
« Les preuves de l’exploitation de CVE-2023-46604 dans la nature par un assortiment d’acteurs menaçants ayant des objectifs différents démontrent la nécessité d’une correction rapide de cette vulnérabilité », a déclaré la société de cybersécurité. dit.