Servidores de Confluence pirateados para implementar AvosLocker

Las pandillas de ransomware ahora están apuntando a una vulnerabilidad de ejecución remota de código (RCE) recientemente parcheada y explotada activamente que afecta a las instancias de Atlassian Confluence Server y Data Center para el acceso inicial a las redes corporativas.

Si se explota con éxito, esta vulnerabilidad de inyección de OGNL (CVE-2022-26134) permite a los atacantes no autenticados tomar el control de servidores sin parches de forma remota mediante la creación de nuevas cuentas de administrador y la ejecución de código arbitrario.

Poco después de que se informara sobre la explotación activa y Atlassian corrigiera el error , también se filtraron en línea exploits de prueba de concepto , lo que redujo aún más el nivel de habilidad necesario para la explotación.

La gravedad de esta falla de seguridad y los exploits ya disponibles no pasaron desapercibidos, con múltiples botnets y actores de amenazas explotándolos activamente en la naturaleza para implementar malware de criptominería.

Ransomware comienza a circular en servidores Confluence sin parches

Como descubrieron los investigadores de la firma suiza de inteligencia de amenazas cibernéticas Prodaft, los afiliados del ransomware AvosLocker ya se han subido al carro.

Ahora están apuntando y pirateando servidores Confluence expuestos a Internet que aún no han sido parcheados "para infectar sistemáticamente a múltiples víctimas a gran escala".

Esta orientación se ilustra con una captura de pantalla del servidor de comando y control de AvosLocker donde los actores de la amenaza han creado una campaña de "confluencia", como se muestra a continuación.


"Al realizar escaneos masivos en varias redes, los actores de amenazas de AvosLocker buscan máquinas vulnerables utilizadas para ejecutar los sistemas Atlassian Confluence", dijo Prodaft a BleepingComputer.

"AvosLocker ya logró infectar múltiples organizaciones de diferentes partes del mundo, incluidos, entre otros, los Estados Unidos, Europa y Australia".

Numerosas víctimas también le han dicho a BleepingComputer que el ransomware Cerber2021 (también conocido como CerberImposter) está  apuntando y encriptando activamente  instancias de Confluence sin parchear contra CVE-2022-26134.

El creador de ID-Ransomware, Michael Gillespie, le dijo a BleepingComputer que los envíos identificados como CerberImposter incluyen archivos de configuración de Confluence cifrados, lo que demuestra que las instancias de Confluence se cifran en la naturaleza.
El lanzamiento de los exploits CVE-2022-26134 POC coincide con un aumento en la cantidad de ataques exitosos de ransomware Cerber.


Microsoft también confirmó el viernes por la noche que han visto servidores Confluence explotados para instalar Cerber2021.


Cerber se dirigió anteriormente a los servidores de Confluence en todo el mundo en diciembre de 2021 utilizando exploits CVE-2021-26084 que permiten a los atacantes no autenticados obtener la ejecución remota de código en sistemas vulnerables.

Ampliamente explotado en la naturaleza

Desde que la firma de seguridad cibernética Volexity reveló CVE-2022-26134 como un error de día cero explotado activamente la semana pasada, CISA también ordenó a las agencias federales que mitiguen la falla bloqueando todo el tráfico de Internet a los servidores de Confluence en sus redes.

Volexity también reveló que es probable que varios actores de amenazas vinculados a China utilicen exploits para apuntar a servidores vulnerables para implementar shells web.

Un día después de que se publicara la información sobre este error explotado activamente, Atlassian lanzó actualizaciones de seguridad e instó a sus clientes a parchear sus instalaciones para bloquear los ataques en curso.

"Recomendamos fuertemente actualizar a una versión fija de Confluence, ya que hay varias otras correcciones de seguridad incluidas en las versiones fijas de Confluence", dijo Atlassian.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta