Επιτιθέμενοι εκμεταλλεύονται μια πρόσφατα διορθωμένη και κρίσιμη ευπάθεια παράκαμψης πιστοποίησης του Atlassian Confluence, για να κρυπτογραφήσουν τα αρχεία θυμάτων χρησιμοποιώντας το κακόβουλο λογισμικό Cerber ransomware.
Δείτε επίσης: Atlassian Confluence: CISA και FBI ενθαρρύνουν τους διαχειριστές να ενημερώσουν άμεσα
Περιγράφεται από την Atlassian ως μια ευπάθεια μη εξουσιοδοτημένης αναπαραγωγής και καταγράφεται ως CVE-2023-22518. Το σφάλμα έλαβε βαθμολογία σοβαρότητας 9,1/10 και επηρεάζει όλες τις εκδόσεις του λογισμικού Confluence Data Center και Confluence Server.
Η Atlassian κυκλοφόρησε αναβαθμίσεις ασφαλείας την περασμένη Τρίτη, προειδοποιώντας τους διαχειριστές να ενημερώσουν άμεσα όλα τα ευάλωτα περιβάλλοντα, καθώς η αδυναμία μπορεί να εκμεταλλευτεί επίσης για να διαγράψει δεδομένα.
“Στο πλαίσιο των διαδικασιών συνεχούς αξιολόγησης ασφαλείας μας, διαπιστώσαμε ότι οι πελάτες του Confluence Data Center και του Server είναι ευάλωτοι σε σημαντική απώλεια δεδομένων σε περίπτωση που εκμεταλλευτείται από μη εξουσιοδοτημένο επιτιθέμενο“, δήλωσε ο Bala Sathiamurthy, Αρχισυντονιστής Πληροφοριών Ασφάλειας (CISO) της Atlassian.
Η εταιρεία εξέδωσε μια δεύτερη προειδοποίηση μερικές ημέρες αργότερα, ενημερώνοντας τους πελάτες ότι ένα proof-of-concept της εκμετάλλευσης ήταν ήδη διαθέσιμο στο διαδίκτυο, αν και δεν είχε αποδείξεις για διαρκή εκμετάλλευση.
Οι χρήστες που δεν μπορούν να αναβαθμίσουν τα συστήματά τους, καλούνται να λάβουν μέτρα αντιμετώπισης για το Cerber ransomware, συμπεριλαμβανομένης της δημιουργίας αντιγράφων ασφαλείας των μη αναβαθμισμένων περιβαλλόντων και του αποκλεισμού της πρόσβασης στο διαδίκτυο για τους μη αναβαθμισμένους διακομιστές μέχρι να ασφαλιστούν.
Επιπλέον υπάρχει η επιλογή να αποκλειστούν γνωστά διανύσματα επίθεσης τροποποιώντας το /<confluence-install-dir>/confluence/WEB-INF/web.xml όπως περιγράφεται στη συστατική, και να επανεκκινήσετε τις ευάλωτες περιπτώσεις.
Δείτε ακόμα: Atlassian Confluence: Κατάχρηση από κρατικούς χάκερ
Σύμφωνα με δεδομένα από την υπηρεσία παρακολούθησης απειλών ShadowServer, υπάρχουν αυτή τη στιγμή περισσότερες από 24.000 περιπτώσεις του Confluence που είναι εκτεθειμένες στο διαδίκτυο, αν και δεν υπάρχει τρόπος να γνωρίζουμε πόσες από αυτές είναι ευάλωτες σε επιθέσεις CVE-2023-22518.
Η Atlassian ενημέρωσε την συμβουλευτική της την Παρασκευή για να προειδοποιήσει ότι κακόβουλοι δράστες χρησιμοποιούσαν ήδη στην ευπάθεια μετά την δημοσιοποίηση του PoC. Το Σαββατοκύριακο, η εταιρεία ασφαλείας πληροφοριών GreyNoise προειδοποίησε για την εκτεταμένη εκμετάλλευση της CVE-2023-22518 που ξεκίνησε την Κυριακή, 5 Νοεμβρίου.
Η εταιρεία κυβερνοασφάλειας Rapid7 παρατήρησε επίσης επιθέσεις κατά διακομιστών Atlassian Confluence που εκτίθενται στο διαδίκτυο, με εκμεταλλεύσεις που στοχεύουν στο CVE-2023-22518 για παράκαμψη ταυτότητας και μια παλαιότερη κρίσιμη ευπάθεια (CVE-2023-22515) που είχε εκμεταλλευτεί προηγουμένως ως zero-day.
Πριν από δύο χρόνια, το Cerber ransomware (γνωστός και ως CerberImposter) χρησιμοποιήθηκε σε επιθέσεις προς τους διακομιστές Atlassian Confluence, εκμεταλλευόμενο μία ευπάθεια στην απομακρυσμένη εκτέλεση κώδικα (CVE-2021-26084), μια αδυναμία που είχε εκμεταλλευτεί προηγουμένως για την εγκατάσταση κρυπτονομισμάτων.
Δείτε επίσης: Ανάλυση της ευπάθειας zero-day στο λογισμικό Atlassian Confluence
Οι βέλτιστες πρακτικές για τη μείωση και πρόληψη των επιθέσεων Cerber ransomware περιλαμβάνουν την τακτική χρήση ενημερωμένου λογισμικού. Είναι σημαντικό να ενημερώνετε τακτικά το λειτουργικό σύστημα, τις εφαρμογές και τα αντικείμενα ασφαλείας, όπως το λογισμικό antivirus και τα τείχη προστασίας. Η ενημέρωση του λογισμικού μειώνει τις ευπάθειες που μπορεί να εκμεταλλευτεί το Cerber ransomware για να εισβάλει στο σύστημά σας.
Ένας άλλος σημαντικός τρόπος πρόληψης των επιθέσεων Cerber ransomware είναι η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις απειλές του ransomware και να μάθουν να αναγνωρίζουν ύποπτα ηλεκτρονικά μηνύματα, αναφορές ή συνημμένα αρχεία. Επίσης, πρέπει να αποφεύγουν να κλικάρουν ανεπιθύμητους συνδέσμους και να αποφεύγουν να κατεβάζουν περιεχόμενο από αναξιόπιστες πηγές.
Η δημιουργία αντιγράφων ασφαλείας των δεδομένων σας είναι επίσης ζωτικής σημασίας για την αντιμετώπιση των επιθέσεων Cerber ransomware. Κρατήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σε εξωτερικούς δίσκους ή σε ασφαλείς απομακρυσμένες τοποθεσίες. Αυτό θα σας επιτρέψει να ανακτήσετε τα δεδομένα σας σε περίπτωση που πέσετε θύμα επίθεσης ransomware.
Τέλος, η χρήση αποτελεσματικών λύσεων ασφαλείας μπορεί να βοηθήσει στην πρόληψη των επιθέσεων Cerber ransomware. Εγκαταστήστε ένα αξιόπιστο λογισμικό antivirus και ενεργοποιήστε ένα τείχος προστασίας για να αποτρέψετε την είσοδο του ransomware στο σύστημά σας. Επίσης, χρησιμοποιήστε λογισμικό παρακολούθησης της ασφάλειας που μπορεί να ανιχνεύσει και να αποτρέψει τις επιθέσεις ransomware πριν προκαλέσουν ζημιά.
Πηγή: bleepingcomputer
