عوامل مخرب شروع به سوء استفاده فعال از یک نقص امنیتی مهم بر مرکز داده Atlassian Confluence و سرور Confluence کردهاند. این حملات در عرض سه روز پس از افشای عمومی این نقص امنیتی شروع شد.
این آسیبپذیری بحرانی که بهعنوان CVE-2023-22527 (امتیاز CVSS: 10.0) ردیابی میشود، بر نسخههای قدیمی نرمافزار تأثیر میگذارد و به مهاجمان احراز هویت نشده اجازه میدهد تا به اجرای کد از راه دور روی سیستمهای آسیبپذیر دست پیدا کنند.
تنها چند روز پس از اینکه این نقص به اطلاع عموم رسید، طبق گزارش بنیاد Shadowserver و گزارش DFIR، نزدیک به ۴۰ هزار تلاش برای بهره برداری از نقص CVE-2023-22527 صورت گرفته است. طبق گزارشها در ۱۹ ژانویه از بیش از ۶۰۰ آدرس IP منحصر به فرد حمله ثبت شده است.
اکثر آدرسهای IP مهاجم از روسیه و پس از آن سنگاپور، هنگ کنگ، ایالات متحده، چین، هند، برزیل، تایوان، ژاپن و اکوادور هستند.
بیش از ۱۱۰۰۰ نمونه Atlassian تا ۲۱ ژانویه ۲۰۲۴ از طریق اینترنت در دسترس بودهاند، اگرچه در حال حاضر مشخص نیست که چه تعداد از آنها در برابر CVE-2023-22527 آسیب پذیر هستند.
Rahul Maini و Harsh Jaiswal از محققان ProjectDiscovery در تحلیل فنی این نقص گفتند: “CVE-2023-22527 یک آسیب پذیری بحرانی در سرور Confluence و مرکز داده Atlassian است.”
این آسیبپذیری این پتانسیل را دارد که به مهاجمان تایید نشده اجازه دهد تا عبارات OGNL را به نمونه Confluence تزریق کنند، در نتیجه اجرای کدهای دلخواه و دستورات سیستم را ممکن میسازد.
منبع: https://thehackernews.com/2024/01/40000-attacks-in-3-days-critical.html
