Злоумышленники атакуют Linux-серверы с непропатченными версиями Atlassian Confluence Server и Data Center.
Несколько Linux-ботнетов начали использовать уязвимость CVE-2021-26084 в ПО Confluence Server и Confluence Data Center, позволяющей выполнить произвольный код. Уязвимость связана с некорректной обработкой входных данных и может быть использована для обхода аутентификации и выполнения вредоносных OGNL команд, позволяющих полностью скомпрометировать уязвимую систему. Специалисты предупреждали о росте количества атак с использованием этой уязвимости еще в прошлом году.
Также сообщается об использовании злоумышленниками свежей 0-day уязвимости CVE-2022-26134. Она тоже затрагивает ПО Atlassian Confluence Server и Data Center. После того, как в Интернете были опубликованы доказательства концепции эксплоитов для CVE-2022-26134, компания GreyNoise заявила, что обнаружила почти десятикратное увеличение числа активных эксплойтов: с 23 IP-адресов, пытавшихся использовать эту уязвимость, до более чем 200.
Среди этих атакующих исследователи Lacework Labs обнаружили три ботнета, отслеживаемые как Kinsing , Hezb и Dark.IoT, известные за свои атаки на уязвимые Linux-серверы.
«Эксплойты с использованием Confluence всегда были крайне популярны у злоумышленников», – пояснили в Lacework Lab. «Хотя мы наблюдаем большую активность, она все еще низка по сравнению с эксплойтами уязвимостей log4j или apache».