Три головы, одна уязвимость: вымогатель Cerber держит в страхе пользователей Atlassian Confluence

Платформа Atlassian Confluence столкнулась с новой угрозой : злоумышленники эксплуатируют критическую уязвимость в ее системах, чтобы обойти процедуру аутентификации. Баг позволяет шифровать файлы с помощью вымогательского вируса Cerber.

Дефект с идентификатором CVE-2023-22518 имеет оценку в 9.1 балла из возможных 10 по шкале опасности. Он представляет собой недоработку в механизмах авторизации и затрагивает все существующие версии серверного ПО Confluence и Confluence Data Center. Компания Atlassian, ответственная за разработку, выпустила патч еще 31 октября и настоятельно рекомендовала администраторам как можно скорее обновить системы, чтобы исключить риск полной потери данных.

Для организаций, которые по каким-то причинам не могут мгновенно применить исправления, предлагается ряд мер предосторожности: от резервного копирования данных до временного ограничения доступа в интернет для необновленных серверов.

По информации сервиса мониторинга угроз ShadowServer, более 24 000 серверов Confluence открыты для доступа из сети. Реальное количество систем, уязвимых к атакам через CVE-2023-22518, определить невозможно.

В прошлую пятницу Atlassian сделала еще одно заявление, предупредив, что после публикации эксплойта хакеры стали применять уязвимость на практике:

«Мы получили от клиентов сообщения об активной эксплуатации уязвимости. Пользователям необходимо незамедлительно предпринять меры для защиты своих систем. Если обновление безопасности уже установлено, дополнительные действия не требуются».

Специалисты по кибербезопасности из GreyNoise зафиксировали первые атаки в воскресенье, 5 ноября. Неизвестные проникли в серверы Atlassian Confluence, которые были доступны через интернет. В этом помогли эксплойты, направленные на CVE-2023-22518 и старую критическую уязвимость повышения привилегий — CVE-2023-22515 (ранее ее эксплуатировали как 0-day).

Злоумышленники запускали команды для загрузки вымогательского ПО Cerber с внешних серверов, расположенных по адресам 193.43.72[.]11 и/или 193.176.179[.]41. После успешной загрузки программа-вымогатель полностью блокировала доступ к системе.

В прошлом месяце к предупреждениям об угрозе эксплуатации CVE-2023-22515 присоединились агентство CISA, ФБР и MS-ISAC. Они совместно обратились к клиентам Atlassian с просьбой срочно принять меры, но у некоторых даже это не вызвало опасений. Как указывает отчет Microsoft, баг эксплуатировался хакерами еще с 14 сентября.

Cerber, также известный как CerberImposter, уже использовался в атаках на Atlassian Confluence два года назад. Атаки осуществлялись посредством уязвимости удаленного выполнения кода (CVE-2021-26084), которую до этого использовали для размещения криптовалютных майнеров в системе.