Hakeri aktivno iskorištavaju sada zakrpljenu, kritičnu sigurnosnu grešku koja utječe na Atlassian Confluence Data Center i Confluence Server za obavljanje nezakonitog rudarenja kriptovaluta na osjetljivim instancama.
“Napadi uključuju hakeri koji koriste metode kao što su implementacija shell skripti i XMRig rudara, ciljanje SSH krajnjih tačaka, uništavanje konkurentskih procesa rudarenja kriptovaluta i održavanje postojanosti putem cron poslova”, rekao je Abdelrahman Esmail, istraživač Trend Micro-a .
Iskorištena sigurnosna ranjivost je CVE-2023-22527 , greška maksimalne ozbiljnosti u starijim verzijama Atlassian Confluence Data Center-a i Confluence Server-a koja bi mogla omogućiti neovlaštenim napadačima da postignu daljinsko izvršavanje koda. Njime se bavila australska softverska kompanija sredinom januara 2024.
Trend Micro je rekao da je uočio veliki broj pokušaja eksploatacije protiv greške između sredine juna i kraja jula 2024. koji su ga iskoristili da ispusti XMRig rudar na nezakrpljene hostove. Iza zlonamjerne aktivnosti stoje najmanje tri različita hakera –
- Pokretanje XMRig rudara preko korisnog opterećenja ELF datoteke koristeći posebno kreirane zahtjeve
- Korištenje shell skripte koja prvo prekida konkurentske kampanje kriptojackinga (npr. Kinsing), briše sve postojeće cron poslove, deinstalira sigurnosne alate u oblaku sa Alibabe i Tencenta i prikuplja informacije o sistemu prije postavljanja novog cron posla koji provjerava komandu i- kontrolu (C2) servera povezivanja svakih pet minuta i pokretanje rudara
„Sa svojom kontinuiranom eksploatacijom od strane aktera prijetnji, CVE-2023-22527 predstavlja značajan sigurnosni rizik za organizacije širom svijeta“, rekao je Esmail.
“Da bi se smanjili rizici i prijetnje povezane s ovom ranjivošću, administratori bi trebali ažurirati svoje verzije Confluence Data Centera i Confluence Servera na najnovije dostupne verzije što je prije moguće.”
Izvor: TheHackerNews