Vários grupos de ransomware começaram a explorar ativamente falhas recentemente divulgadas no Atlassian Confluence e no Apache ActiveMQ.
A empresa de cibersegurança Rapid7 afirmou que observou a exploração das falhas
CVE-2023-22518
e
CVE-2023-22515
em vários ambientes de clientes, alguns dos quais foram aproveitados para a implantação do ransomware Cerber (também conhecido como C3RB3R).
Ambas as vulnerabilidades são críticas, permitindo que atores de ameaças criem contas de administrador não autorizadas do Confluence e levem à perda de dados.
No dia 6 de novembro, a Atlassian atualizou seu aviso para observar que viu "vários exploits ativos e relatos de atores de ameaças usando ransomware" e que está revisando a pontuação CVSS da falha de 9.8 para 10.0, indicando gravidade máxima.
A escalada, segundo a empresa australiana, se deve à mudança no escopo do ataque.
As cadeias de ataque envolvem a exploração em massa de servidores Atlassian Confluence vulneráveis expostos à internet para buscar um payload malicioso hospedada em um servidor remoto, levando à execução do payload do ransomware no servidor comprometido.
Dados coletados por GreyNoise mostram que as tentativas de exploração estão vindo de três endereços IP diferentes localizados na França, Hong Kong e Rússia.
Enquanto isso, a Arctic Wolf Labs divulgou que uma grave falha de execução de código remoto que afeta o Apache ActiveMQ (
CVE-2023-46604
, pontuação CVSS: 10.0) está sendo usada para entregar um trojan de acesso remoto baseado em Go chamado SparkRAT, bem como uma variante de ransomware que compartilha semelhanças com o TellYouThePass.
Evidências de exploração do
CVE-2023-46604
em ambiente real por uma variedade de atores de ameaças com objetivos diferenciados demonstram a necessidade de uma rápida correção desta vulnerabilidade”, disse a empresa de cibersegurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...