Atuantes maliciosos estão explorando ativamente uma vulnerabilidade crítica de segurança, já corrigida, que impacta o Atlassian Confluence Data Center e o Confluence Server para realizar mineração ilícita de criptomoedas em instâncias suscetíveis.
"Os ataques envolvem atuantes maliciosos que empregam métodos como a implantação de shell scripts e mineradores XMRig, o alvo de endpoints SSH, a eliminação de processos concorrentes de mineração de criptomoedas, e a manutenção de persistência via cron jobs," disse o pesquisador da Trend Micro, Abdelrahman Esmail.
A vulnerabilidade de segurança explorada é a
CVE-2023-22527
, um bug de severidade máxima em versões antigas do Atlassian Confluence Data Center e do Confluence Server, que poderia permitir a atacantes não autenticados alcançar execução remota de código.
Foi endereçada pela companhia de software australiana em meados de janeiro de 2024.
A Trend Micro disse que observou um alto número de tentativas de exploração contra a falha entre meados de junho e fim de julho de 2024 que a aproveitaram para instalar o minerador XMRig em hosts não atualizados.
Pelo menos três diferentes atuantes maliciosos estão ditos como estando por trás da atividade maliciosa.
Lançamento do minerador XMRig via um payload de arquivo ELF usando solicitações especialmente criadas
Usando um shell script que primeiro termina campanhas concorrentes de cryptojacking (por exemplo, Kinsing), deleta todos os cron jobs existentes, desinstala ferramentas de segurança na nuvem da Alibaba e Tencent, e coleta informações do sistema, antes de configurar um novo cron job que verifica a conectividade com o servidor de comando e controle (C2) a cada cinco minutos e inicia o minerador
"Com sua exploração contínua por atuantes maliciosos, a
CVE-2023-22527
apresenta um risco de segurança significativo para organizações mundialmente," disse Esmail.
Para minimizar os riscos e ameaças associados a essa vulnerabilidade, administradores deveriam atualizar suas versões do Confluence Data Center e Confluence Server para as versões mais recentes disponíveis o mais rápido possível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...