Atlassian Confluence の脆弱性 CVE-2022-26134:50件のアクセス権を販売する驚異アクターが登場

Threat actors sell access to tens of vulnerable networks compromised by exploiting Atlassian 0day

2022/06/26 SecurityAffairs — 先日に発見された、Atlassian Confluence のゼロデイ欠陥 (CVE-2022-26134) の悪用により、侵入を許してしまった 50件の脆弱のネットワークへのイニシャル・アクセスが、ある脅威アクターにより販売されている。この発見は、Rapid7 Threat Intelligence チームによるものでありで、その情報は The Record で公開されている。この脆弱なネットワークへのイニシャル・アクセスは、ロシア語のフォーラム XSS で提供されていた。


Rapid7 の専門家たちによると、販売者はハッキング・フォーラムで良い評判を得ているため、管理者によるパッチ適用が必要だとされる。Rapid7 は、その 50社を特定し、通知を試みている。

5 月末に Atlassian は、Confluence Server と Data Center の全ての現行バージョンに影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-26134 について明らかにし、また、いくつかの活発な攻撃において、野放し状態で悪用されていると警告している。

Atlassian は、「Confluence Server と Data Center に存在する、深刻な未認証リモートコード実行の脆弱性が、現時点で活発に悪用されていることをは認識している。この脆弱性の詳細については、修正プログラムが提供されるまで保留される。この脆弱性は、メモリアルデーの週末に行われた攻撃に関する調査の一環として、セキュリティ企業の Volexity が発見したものだ」と述べている。

Rapid7 による発見に話を戻すと、50件のネットワーク・アクセスを提供している販売者が、さらに1万台の脆弱なマシンのリストを販売するという、悪いニュースもある。Confluence サーバーを運用している組織にとっては、ネットワーク内で侵害の指標を探し出し、侵入の有無を判断することも必要とされる。

ランサムウェア・ギャングたちは、Atlassian Confluence Server/Data Center に存在する、リモートコード実行 (RCE) の脆弱性 CVE-2022-26134 を積極的に悪用している。セキュリティ企業である Prodaft の研究者たちは、AvosLocker ランサムウェアの運営者が、すでに Atlassian Confluence のバグを悪用し始めているようだ。

研究者たちは、AvosLocker のコントロール・パネル内に、Confluence キャンペーンが作成されていることに気づいた。BleepingComputer は、 ランサムウェア (別名CerberImposter) の背後にいるオペレーターが、最近の攻撃で Confluence の脆弱性を積極的に悪用していることも報告している。

Atlassian Confluence の脆弱性 CVE-2022-26134 ですが、ずいぶんと後を引くものになってしまいました。6月18日に「Atlassian Confluence の脆弱性 CVE-2022-26134:脆弱なインスタンス数は減ったが攻撃が活発化」という記事をポストしましたが、今度はイニシャル・アクセス・ブローカーが登場です。ご注意ください。よろしければ、CVE-2022-26134 で検索も、ご利用ください。このブログでは、CVE のタグ化も行っていますので、絞り込まれた検索結果が得られます。

%d bloggers like this: