Компания Microsoft связала эксплуатацию недавно обнаруженной критической уязвимости в сервисе Atlassian Confluence Data Center and Server с хакерской группировкой Storm-0062 (также известной как DarkShadow или Oro0lxy). Как сообщает Securitylab, злоумышленники начали использовать этот баг еще 14 сентября 2023 года.
«CVE-2023-22515 — это критическая уязвимость повышения привилегий в Atlassian Confluence Data Center and Server», — отмечает Microsoft в своем посте на платформе Х. «Любое устройство, подключенное к уязвимому приложению, может эксплуатировать CVE-2023-22515 для создания учетной записи администратора».
CVE-2023-22515 , получившая максимальную оценку критичности (от 9.5 до 10) по шкале CVSS, позволяет удаленно создавать аккаунты с неограниченным доступом к серверам платформы. Проблема была устранена в последних версиях: 8.3.3 и выше, 8.4.3 и выше, а также в версии с расширенной поддержкой - 8.5.2 и выше.
Хотя точные масштабы атак пока неизвестны, компания Atlassian заявляет, что о проблеме сообщило лишь «небольшое число клиентов». Вероятно, дефект изначально использовался как 0-day.
Стоит отметить, что псевдоним Oro0lxy связывают с китайским хакером Ли Сяою, обвиненным Минюстом США во взломе сотен американских организаций в 2020 году. Среди самых известных жертв – компания Moderna, разработчик вакцины от COVID-19. Предположительно, Сяою сотрудничал с региональным подразделением Министерства госбезопасности КНР в провинции Гуандун. По данным американских властей, тогда хакеры похитили терабайты конфиденциальных данных.
Всем организациям, использующим приложения Confluence, рекомендуют срочно обновить их до последних версий, а также изолировать серверы от публичного доступа в интернете до установки патчей. Это существенно снизит риски.