Schädliche Akteure haben begonnen, eine kürzlich bekannt gewordene kritische Sicherheitslücke in Atlassian Confluence Data Center und Confluence Server aktiv auszunutzen, innerhalb von drei Tagen nach der öffentlichen Bekanntgabe.
Die Schwachstelle mit der Bezeichnung CVE-2023-22527 (CVSS-Score: 10,0) betrifft veraltete Versionen der Software und ermöglicht nicht authentifizierten Angreifern die Ausführung von Remote-Code auf anfälligen Installationen.
Die Schwachstelle betrifft Confluence Data Center und Server 8 Versionen, die vor dem 5. Dezember 2023 veröffentlicht wurden, sowie Version 8.4.5.
Aber nur wenige Tage nachdem die Schwachstelle bekannt wurde, wurden bereits fast 40.000 Exploit-Versuche auf CVE-2023-22527 verzeichnet, die ab dem 19. Januar von mehr als 600 eindeutigen IP-Adressen aus durchgeführt wurden, so die Shadowserver Foundation und der DFIR Report.
Die Aktivität beschränkt sich derzeit auf „Test-Rückrufversuche und ‚whoami‘-Ausführung“, was darauf hindeutet, dass die Angreifer opportunistisch nach anfälligen Servern suchen, um sie anschließend auszunutzen.
Die meisten Angreifer-IP-Adressen stammen aus Russland (22.674), gefolgt von Singapur, Hongkong, den USA, China, Indien, Brasilien, Taiwan, Japan und Ecuador.
Bis zum 21. Januar 2024 wurden über 11.000 Atlassian-Instanzen im Internet gefunden, allerdings ist derzeit nicht bekannt, wie viele von ihnen anfällig für CVE-2023-22527 sind.
„CVE-2023-22527 ist eine kritische Sicherheitslücke in Atlassian’s Confluence Server und Data Center“, sagten die ProjectDiscovery-Forscher Rahul Maini und Harsh Jaiswal in einer technischen Analyse der Schwachstelle.
