De meest recente kwetsbaarheid in Atlassian Confluence Server wordt al massaal misbruikt, ontdekten security-experts. Snell patchen is daarom zeer belangrijk.
CVE-2023-22518, een kwetsbaarheid in de Atlassian Confluence Server, wordt massaal misbruikt. Dat melden diverse securityspecialisten.
Volgens specialist GreyNoise hebben deze aanvallen gemeen dat de ontdekte IP-adressen allemaal Oekraïne als doel hebben. Volgens de specialisten van het DFIR Report zijn er onder de aanvallers ook hackergroepen die hiermee een ransomware-aanval proberen uit te voeren. Onder meer werd een poging ontdekt van een ransomwaregroep die zich C3RB3R noemt. De experts van Rapid7 ontdekten dan weer ransomware-aanvallen van Cerber-ransomware.
Recent openbaar gemaakt
Vorige week maakte Atlassian de kwetsbaarheid bekend. Het gaat hierbij om een autorisatie-kwetsbaarheid die zich richt op met het internet verbonden (on-premises) Confluence-servers. Hackers zijn hierdoor in staat speciaal aangepaste verzoeken naar deze servers te versturen om de instellingen van endpoints te herstellen.
Dit kan volgens Atlassian leiden tot veel dataverlies bij een eventuele exploit. Het tijdig patchen van de Confluence-instances is daarom zeer belangrijk. Confluence Server-accounts die in de Atlassian-cloudomgeving worden gehost, zijn niet getroffen.
Niet de eerste keer
Het is niet de eerste keer dat de workflow- en samenwerkingsspecialist wordt getroffen door een kritische kwetsbaarheid in zijn Confluence-software. Begin oktober werd nog een kritieke kwetsbaarheid ontdekt die ook snel werd misbruikt. Ook hierbij duurde het enige tijd voordat patches daadwerkelijk werden doorgevoerd bij gebruikers van de software.
18 uur geleden
