Eine kürzlich gepatchte kritische Sicherheitslücke in Atlassian Confluence Server- und Data Center-Produkten wird in realen Angriffen aktiv als Waffe eingesetzt, um Kryptowährungs-Miner und Ransomware abzusetzen.
In mindestens zwei der vom Cybersecurity-Anbieter Sophos beobachteten Windows-Vorfälle nutzten Angreifer die Schwachstelle aus, um die Ransomware Cerber und den Krypto-Miner z0miner in die Netzwerke der Opfer einzuschleusen.
Der Fehler (CVE-2022-26134, CVSS-Score: 9.8), der von Atlassian am 3. Juni 2022 gepatcht wurde, ermöglicht es einem nicht authentifizierten Akteur, bösartigen Code einzuschleusen, der den Weg für eine Remotecodeausführung (RCE) auf betroffenen Installationen der Collaboration Suite ebnet. Alle unterstützten Versionen von Confluence Server und Data Center sind betroffen.
Weitere bemerkenswerte Malware, die im Rahmen verschiedener Angriffe verbreitet wurde, sind die Bot-Varianten Mirai und Kinsing, ein Rogue-Paket namens pwnkit und Cobalt Strike, das über eine Web-Shell eingesetzt wird, nachdem man sich Zugang zum angegriffenen System verschafft hat.
„Die Sicherheitslücke CVE-2022-26134 ermöglicht es einem Angreifer, eine aus der Ferne zugängliche Shell im Speicher zu starten, ohne etwas in den lokalen Speicher des Servers zu schreiben“, sagt Andrew Brandt, Principal Security Researcher bei Sophos.
Die Enthüllung überschneidet sich mit ähnlichen Warnungen von Microsoft, das letzte Woche bekannt gab, dass „mehrere Angreifer und nationalstaatliche Akteure, einschließlich DEV-0401 und DEV-0234, die Atlassian Confluence RCE-Schwachstelle CVE-2022-26134 ausnutzen“.
DEV-0401, der von Microsoft als „in China ansässiger Einzelkämpfer, der zu einem LockBit 2.0-Mitglied geworden ist“, beschrieben wird, wurde bereits mit Ransomware in Verbindung gebracht, die auf internetfähige Systeme mit VMWare Horizon (Log4Shell), Confluence (CVE-2021-26084) und Exchange-Server vor Ort (ProxyShell) abzielt.
Diese Entwicklung ist bezeichnend für einen anhaltenden Trend, bei dem Bedrohungsakteure zunehmend aus neu bekannt gewordenen kritischen Schwachstellen Kapital schlagen, anstatt öffentlich bekannte, veraltete Software-Schwachstellen für ein breites Spektrum von Zielen auszunutzen.