Atlassian Confluence ve Veri Merkezi sunucularını etkileyen aktif olarak sömürülen kritik CVE-2022-26134 güvenlik açığı için kavram kanıtı bu hafta sonu yaygın olarak yayınlandı.
CVE-2022-26134 olarak izlenen güvenlik açığı, OGNL enjeksiyonu yoluyla sömürülen kritik kimlik doğrulanmamış, uzaktan kod yürütme güvenlik açığıdır ve sürüm 1.3.0'dan sonra tüm Atlassian Confluence ve Veri Merkezi 2016 sunucularını etkiler.
Başarılı sömürü, kimlik doğrulanmamış, uzak saldırganların yeni yönetici hesapları oluşturmasına, komutları yürütmesine ve sonuçta sunucuyu devralmasına olanak tanır.
Güvenlik açığı, Volexity'nin saldırılarda çoklu tehdit aktörleri tarafından kullanıldığını keşfettikten sonra geçen hafta açıklandı. O zaman, bir yama mevcut değildi ve Atlassian yöneticilere sunucuları çevrimdışı almalarını veya internetten erişilebilmelerini engellemelerini tavsiye etti.
Cuma günü Atlassian, tıpkı vahşi doğada saldırılar arttıkça güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
Cuma öğleden sonra, Atlassian Confluence güvenlik açığı için bir kavram kanıtı kamuya açıklandı. İstismar kısa süre sonra hafta sonu geniş bir şekilde çevrimiçi yayıldı ve araştırmacılar Twitter'da ne kadar önemsizden yararlanmanın örneklerini paylaşıyorlar.
Dün öğleden sonra, siber güvenlik firması Greynoise CEO'su Andrew Morris, Atlassian güvenlik açıklarından yararlanan 23 benzersiz IP adresi görmeye başladıklarını tweetledi.
Bugün Greynoise, bu güvenlik açığından yararlanmaya çalışan benzersiz IP adreslerinin sayısının neredeyse on kez, 211 benzersiz IP adresine ulaştığını bildiriyor.
Confluence Sustamits Yayınlanan Çevrimiçi Yayınlanan Yeni Yönetici Hesapları Oluşturma, DNS isteklerini zorlama, bilgi toplama ve ters kabuklar oluşturma.
Henüz birleşme veya veri merkezi sunucularınızdaki güvenlik açığı yamamadıysanız, tehdit aktörleri tehlikeye atmadan hemen önce bunu yapmalısınız.
Atlassian Danışmanlığı, "Yayımlanan sürümler 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ve 7.18.1, bu sorun için bir düzeltme içeriyor."
Herhangi bir nedenden dolayı, sunucularınızı hemen yamalayamazsanız, Atlassian 7.18.0 sürümü ile Confluence 7.0.0 için hafifletmeler sağladı.
Confluence sunucuları bir kurumsal ağa ilk erişim için çekici bir hedef olduğundan, cihazlar derhal güncellenmeli, hafifletilmeli veya çevrimdışı alınmalıdır.
Bunu yapmamak nihayetinde fidye yazılımı dağıtım ve veri hırsızlığı da dahil olmak üzere daha önemli saldırılara yol açacaktır.
Kritik Atlassian Confluence Salatlarda aktif olarak kullanılır
Atlassian, saldırılarda geniş çapta sömürülen Confluence Zero-Day'i düzeltiyor
Kritik VMware Auth Bypass hatası için piyasaya sürülen istismar, şimdi yama
Hacker güvenlik kusurunu sızdırdıktan sonra Darknet Pazarı ve Kapanır
Zyxel, saldırıya uğramış ağlara yol açabilecek güvenlik duvarı kusurlarını düzeltiyor
Kaynak: Bleeping Computer