CISA, FBI và MS-ISAC đang cảnh báo các quản trị viên mạng ngay lập tức vá một lỗ hổng nghiêm trọng, đã bị khai thác trong thực tế, trên các máy chủ Atlassian Confluence.
Có định danh CVE-2023-22515, lỗ hổng leo thang đặc quyền nghiêm trọng ảnh hưởng đến các phiên bản Trung tâm dữ liệu (Data Center) và Máy chủ Confluence từ 8.0.0 trở lên, và có thể bị khai thác từ xa mà không yêu cầu sự tương tác của người dùng.
Vào ngày 4 tháng 10, khi bản cập nhật bảo mật đã được phát hành, Atlassian đã khuyến nghị người dùng nên nâng cấp phiên bản Confluence của họ lên một trong các phiên bản đã được vá (phiên bản 8.3.3 trở lên, 8.4.3 trở lên hoặc 8.5.2 trở lên) càng sớm càng tốt vì lỗ hổng này đã bị khai thác trong thực tế dưới dạng zero-day.
Một tuần sau khi CISA thêm lỗ hổng này vào danh sách các lỗ hổng bị khai thác đã biết, Microsoft tiết lộ rằng một nhóm đe dọa do Trung Quốc hậu thuẫn có tên Storm-0062 (còn gọi là DarkShadow hoặc Oro0lxy) đã khai thác lỗ hổng này dưới dạng zero-day ít nhất từ ngày 14 tháng 9 năm 2023.
CISA, FBI và MS-ISAC đặc biệt khuyến nghị các quản trị viên mạng áp dụng ngay các bản nâng cấp do Atlassian cung cấp.
Cảnh báo khai thác trên diện rộng
Dữ liệu do công ty bảo mật Greynoise thu thập được chỉ ra rằng việc khai thác CVE-2023-22515 cho đến nay dường như còn hạn chế.
Tuy nhiên, với việc các mã khai thác (PoC) [1, 2]cho lỗ hổng đã được phát hành, cũng như các chi tiết kỹ thuật liên quan đến lỗ hổng được tiết lộ công khai, tình hình khai thác có thể sẽ thay đổi sớm.
Cố vấn chung của các cơ quan cho biết: “Do tính dễ khai thác, CISA, FBI và MS-ISAC dự kiến sẽ sớm xuất hiện việc khai thác rộng rãi các phiên bản Confluence chưa được vá lỗi trong các mạng của chính phủ và tư nhân”.
Các máy chủ Confluence vẫn luôn là một trong những mục tiêu thường xuyên bị tin tặc nhắm đến, do đó việc vá các máy chủ bị ảnh hưởng càng sớm càng tốt là điều vô cùng quan trọng. Các chiến dịch trước đây liên quan đến phần mềm độc hại botnet Linux, công cụ khai thác tiền điện tử cũng như các cuộc tấn công ransomware AvosLocker và Cerber2021 đã nhấn mạnh tính cấp bách của vấn đề.
Năm ngoái, CISA đã yêu cầu các cơ quan liên bang giải quyết một lỗ hổng Confluence nghiêm trọng khác (CVE-2022-26138) đã bị khai thác trong thực tế. Lỗ hổng này cũng được cảnh báo trước đó bởi công ty bảo Rapid7 và công ty tình báo mối đe dọa GreyNoise.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Cisco đang cảnh báo về một lỗ hổng zero-day nghiêm trọng, chưa được vá, đang bị khai thác trong thực tế, ảnh hưởng đến phần mềm iOS XE.
Tín nhiệm mạng | Một phần mềm độc hại có tên DarkGate đang được phát tán thông qua các nền tảng nhắn tin trực tuyến như Skype và Microsoft Teams.
Tín nhiệm mạng | Microsoft gần đây đã thông báo rằng giao thức xác thực NTLM sẽ bị vô hiệu hóa trong Windows 11 trong tương lai.
Tín nhiệm mạng | Microsoft đã công bố một chương trình bounty mới tập trung vào ứng dụng Bing dựa trên AI với phần thưởng lên tới 15.000 đô.
Tín nhiệm mạng | Lỗ hổng nghiêm trọng trong Máy chủ và Trung tâm dữ liệu Atlassian Confluence đang bị tin tặc khai thác để tạo tài khoản quản trị viên Confluence trong ứng dụng
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật bảo mật hằng tháng - Patch Tuesday - tháng 10 năm 2023, với các bản vá cho 104 lỗ hổng, trong đó có ba lỗ hổng zero-day đã bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
