MKD-CIRT National Centre for Computer Incident Response
Повеќе групи на ransomware почнаа активно да ги искористуваат неодамна откриените недостатоци во Atlassian Confluence и Apache ActiveMQ.
Компанијата за сајбер безбедност Rapid7 рече дека забележала експлоатација на CVE-2023-22518 и CVE-2023-22515 во повеќе опкружувања на клиенти, од кои некои се користени за распоредување на Cerber (познат како C3RB3R ) ransomware.
Двете ранливости се критични, дозволувајќи им на актерите за закана да создадат неовластени администраторски сметки на Confluence и да доведат до губење податоци.
Atlassian, на 6 ноември, го ажурираше своето советување за да забележи дека забележал „неколку активни експлоатирања и извештаи за актери на закани кои користат ransomware“ и дека го ревидира резултатот CVSS на пропустот од 9,8 на 10,0, што укажува на максимална сериозност.
Ескалацијата, соопшти австралиската компанија, се должи на промената на обемот на нападот.
Синџирите на напади вклучуваат масовна експлоатација на ранливите сервери Atlassian Confluence со кои се соочува интернет за да се преземе злонамерен товар хостиран на оддалечен сервер, што доведува до извршување на товарот за ransomware на компромитиран сервер.
Податоците собрани од GreyNoise покажуваат дека обидите за експлоатација потекнуваат од три различни IP адреси лоцирани во Франција, Хонг Конг и Русија.
Во меѓувреме, Arctic Wolf Labs откри дека сериозен пропуст во извршувањето на кодот од далечина што влијае на Apache ActiveMQ ( CVE-2023-46604 , CVSS резултат: 10.0) е вооружен за да се испорача тројанец за далечински пристап базиран на Go, наречен SparkRAT, како и варијанта што ран споделува сличности со TellYouThePass .
„Доказите за експлоатација на CVE-2023-46604 во дивината од асортиман на закани актери со различни цели ја покажуваат потребата за брзо отстранување на оваа ранливост“, рече компанијата за сајбер безбедност .
Извор: (thehackernews.com)