 Resumen: Atlassian ha advertido los usuarios sobre la existencia de una vulnerabilidad de severidad crítica sin parchear, que se dirige a todos los productos Confluence Server y Data Center.
La vulnerabilidad fue detectada hace algunas horas por la firma de ciberseguridad de Volexity, quienes afirman, está siendo explotada activamente en la red.
Rastreado como CVE-2022-26134, el fallo de ejecución remota de código podría permitir la descarga de herramientas maliciosas en los dispositivos comprometidos.
De acuerdo con el informe publicado por Volexity, el problema fue rastreado gracias a la investigación de un ataque que tuvo lugar el fin de semana.
Durante el ataque, los atacantes lanzaron un exploit en los sistemas de Confluence Server para aprovechar la vulnerabilidad de tipo zero day, con el objetivo de llevar a cabo una ejecución remota de código.
Una vez explotados los sistemas de Confluence Server, los atacantes procedieron a desplegar una copia de BEHINDER, un implante de servidor web cuyo código está disponible en GitHub.
BEHINDER le proporciona a los atacantes herramientas potentes como webshells y soporte incorporado para la interacción con Meterpreter y Cobalt Strike.
Más adelante, los atacantes utilizaron webshells para desplegar dos webshells adicionales en el disco: CHINA CHOPPER y una shell de carga de archivos personalizada.
Ahora bien, aunque esta no es la primera vez que los fallos de Atlassian sin parches se explotan activamente en la red, esta vulnerabilidad podría traer consecuencias graves para los dispositivos comprometidos.
Dicho esto, se le insta a todos los usuarios a instalar los parches correspondientes una vez estén disponibles.
Por el momento, no se han dado más detalles sobre la vulnerabilidad con el objetivo de prevenir su posible explotación; sin embargo, Atlassian cree que es probable que ya existan varios ataques que estén aprovechando este fallo.
Mientras las correcciones están disponibles, Atlassian le recomienda a todos sus clientes, restringir las instancias de Confluence Server y Data Center de Internet o considerar la posibilidad de desactivar las instancias de Confluence Server y Data Center.
En cuanto exista mayor información sobre el caso, se lo haremos saber de inmediato.
Referencias: https://thehackernews.com/2022/06/hackers-exploiting-unpatched-critical.html |
SÍGUENOS