Birkaç botnet, takılmamış Atlassian Confluence Server ve Veri Merkezi yüklemelerini çalıştıran Linux sunucularını enfekte etmek için kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığını hedefleyen istismarlar kullanıyor.
Bu kusurun başarılı bir şekilde kullanılması (CVE-2021-26084 olarak izlendi), kimlik doğrulanmamış saldırganların yeni yönetici hesapları oluşturmasına, komutları yürütmesine ve sonuçta backdoor internete maruz kalan sunuculara uzaktan devralmasına izin verir.
Konsept kanıtı (POC) istismarları çevrimiçi olarak yayınlandıktan sonra, siber güvenlik firması Greynoise, aktif sömürüde neredeyse on kat artış tespit ettiğini, 23 IP adresinden 200'den fazla IP adresinden tespit ettiğini söyledi.
Bu saldırganlar arasında, dantel laboratuvarları araştırmacıları, savunmasız Linux sunucularını hedeflemek ve arka kapıları ve kriptominerleri dağıtmak için bilinen Kinsing, Hezb ve Dark.iot olarak izlenen üç botnet buldular.
Kinsing ayrıca, bir POC istismarı çevrimiçi olarak piyasaya sürüldükten sonra kriptominasyon kötü amaçlı yazılımları yüklemek için başka bir kritik Atlassian Confluence RCE kusurunu kullanarak geçmişte birleşmeyi hedeflemiştir.
Hezb Botnet daha önce Linux uyumlu Kobalt Strike Beacons ve XMRIG madencilerini, eşleştirilmemiş WSO2 ürünlerini çalıştıran sunuculara konuşlandırdı.
Dark.iot, Microsoft Azure VM'lerini OMIGOD istismarları ve Realtek SDK kullanarak yüz binlerce cihazı hedeflerken Coinminer yüklerini düşürmesiyle de bilinir.
Lacework Lab, "Konfluence içeren istismarlar, bulutu hedefleyenler de dahil olmak üzere çeşitli tehditler arasında her zaman popülerdir."
"Dantel laboratuvarları diğer istismarlara göre çok fazla aktivite gözlemlerken, Log4J veya Apache'yi içerenler gibi daha etkili 'kahve molası' güvenlik açıklarına kıyasla hala düşük pozlama var."
Geçen hafta siber güvenlik firması Volexity tarafından aktif olarak sömürülen sıfır gün hatası olarak açıklandığından, CISA, federal ajanslara ağlarındaki Confluence sunucuları için tüm internet trafiğini engellemelerini emretti.
Volexity ayrıca, Çin'den gelen çoklu tehdit aktörlerinin, web kabuklarını dağıtmak için bu RCE kusuruna (CVE-2022-26134 olarak izlenen) karşı açılmamış savunmasız sunucuları hedeflemek için istismarları kullandığını ortaya koydu.
Bu aktif olarak sömürülen hata açıklandıktan bir gün sonra, Atlassian güvenlik güncellemeleri yayınladı ve müşterileri devam eden saldırıları engellemek için kurulumlarını düzeltmeye çağırdı.
Atlassian, "Confluence'ın sabit sürümlerinde yer alan başka güvenlik düzeltmeleri olduğu için Confluence'ın sabit bir sürümüne yükseltilmenizi şiddetle tavsiye ediyoruz." Dedi.
Confluence yüklemenizi hemen yükseltemiyorsanız, burada ayrıntılı olarak açıklandığı gibi Confluence sunucusundaki bazı kavanoz dosyalarını güncellemeyi gerektiren geçici bir geçici çözüm de kullanabilirsiniz.
Microsoft, Linux Xorddos kötü amaçlı yazılım etkinliğinde büyük dalgalanmayı tespit eder
Microsoft: SYSRV Botnet, Windows, Linux sunucularını yeni istismarlarla hedefler
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Yeni Symbiote kötü amaçlı yazılım, Linux sistemlerinde tüm çalışan işlemleri enfekte eder
QBOT kötü amaçlı yazılım artık kimlik avı saldırılarında Windows MSDT sıfır gününü kullanıyor
Kaynak: Bleeping Computer