Hackers εκμεταλλεύονται μια κρίσιμη ευπάθεια ασφαλείας, που επηρεάζει τα Atlassian Confluence Data Center και Confluence Server, και πραγματοποιούν crypto-mining επιθέσεις. Αξίζει να σημειωθεί ότι αυτή η ευπάθεια έχει πλέον διορθωθεί, αλλά τα μη ενημερωμένα συστήματα παραμένουν ευάλωτα.
“Οι επιτιθέμενοι χρησιμοποιούν μεθόδους όπως ανάπτυξη shell scripts και XMRig miners, στόχευση τελικών σημείων SSH, διακοπή ανταγωνιστικών crypto mining διαδικασιών και διατήρηση persistence μέσω cron jobs“, δήλωσε ο ερευνητής της Trend Micro, Abdelrahman Esmail.
Η ευπάθεια παρακολουθείται ως CVE-2023-22527 και επηρεάζει παλαιότερες εκδόσεις Atlassian Confluence Data Center και Confluence Server. Μη εξουσιοδοτημένοι εισβολείς μπορούν να την εκμεταλλευτούν για να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα. Η Atlassian διόρθωσε αυτή την ευπάθεια στα μέσα Ιανουαρίου 2024.
Δείτε επίσης: Ευπάθεια στο Dell BIOS επιτρέπει την εκτέλεση αυθαίρετου κώδικα
Η Trend Micro παρατήρησε πολλές προσπάθειες εκμετάλλευσης από τα μέσα Ιουνίου έως το τέλος Ιουλίου 2024. Οι επιτιθέμενοι τη χρησιμοποιούσαν για διανομή του XMRig miner σε μη ενημερωμένες συσκευές. Τουλάχιστον τρεις διαφορετικές hacking ομάδες φαίνεται να χρησιμοποίησαν την ευπάθεια Atlassian Confluence.
Οι ερευνητές παρατήρησαν ότι γίνεται εκκίνηση του XMRig miner μέσω ενός ELF file payload (χρησιμοποιώντας ειδικά κατασκευασμένα αιτήματα). Αρχικά, χρησιμοποιείται ένα shell script που τερματίζει τις ανταγωνιστικές καμπάνιες cryptojacking (π.χ. Kinsing), διαγράφει τα cron jobs, απεγκαθιστά τα εργαλεία ασφάλειας cloud από την Alibaba και την Tencent και συλλέγει πληροφορίες συστήματος. Τέλος, ρυθμίζει ένα νέο cron job που ελέγχει για command-and-control (C2) server connectivity κάθε πέντε λεπτά και γίνεται εκκίνηση του miner.
Δείτε επίσης: Ευπάθειες της Hitachi πλήττουν τα συστήματα ισχύος SCADA
Ο ερευνητής Esmail τόνισε ότι η ευπάθεια CVE-2023-22527 αποτελεί σημαντικό κίνδυνο για τους οργανισμούς παγκοσμίως, δεδομένης της εκτεταμένης εκμετάλλευσης.
“Για να ελαχιστοποιηθούν οι κίνδυνοι και οι απειλές που σχετίζονται με αυτήν την ευπάθεια, οι διαχειριστές θα πρέπει να ενημερώσουν τις εκδόσεις του Confluence Data Center και του Confluence Server στις πιο πρόσφατες διαθέσιμες εκδόσεις το συντομότερο δυνατό“, προτείνει ο ερευνητής.
Οι οργανισμοί που χρησιμοποιούν τις επηρεαζόμενες εκδόσεις του Atlassian Confluence καλούνται να εφαρμόσουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας και να αναθεωρήσουν τα μέτρα ασφαλείας τους για να προστατευθούν από ενδεχόμενες επιθέσεις. Επιπλέον, είναι ζωτικής σημασίας η ευαισθητοποίηση και η εκπαίδευση των χρηστών, καθώς και η παρακολούθηση των συστημάτων τους για οποιαδήποτε ασυνήθιστη δραστηριότητα.
Δείτε επίσης: Η Fortra διόρθωσε κρίσιμη ευπάθεια στο FileCatalyst Workflow
Επιπρόσθετα, οι εταιρείες πρέπει να διαθέτουν συστήματα ανίχνευσης και αντίδρασης για να επιλύουν τυχόν προβλήματα ασφάλειας και να προωθούν τη συνεχή βελτίωση των μέτρων ασφαλείας τους.
Τέλος, η συνεργασία με εξωτερικούς ειδικούς ασφάλειας μπορεί να βοηθήσει στην ανάπτυξη και υλοποίηση αποτελεσματικών μέτρων πρόληψης και προστασίας. Μόνο μέσω συντονισμένων προσπαθειών και εξελιγμένων συστημάτων ασφαλείας μπορούμε να προστατευθούμε από επιθέσεις και να διασφαλίσουμε την ασφάλεια των συστημάτων μας.
Πηγή: thehackernews.com
