Siber Muhbir

CVE-2023-22527 (CVSS puanı: 10.0) olarak izlenen güvenlik açığı, yazılımın güncel olmayan sürümlerini etkileyerek kimliği doğrulanmamış saldırganların hassas kurulumlarda uzaktan kod yürütmesine olanak tanır.

Eksiklik, 5 Aralık 2023'ten önce yayınlanan Confluence Data Center ve Server 8 sürümlerinin yanı sıra 8.4.5'i de etkiliyor.

Ancak kusurun kamuya açıklanmasından sadece birkaç gün sonra, hem Shadowserver Foundation hem de DFIR Raporuna göre, CVE-2023-22527'yi hedef alan yaklaşık 40.000 istismar girişimi, 19 Ocak gibi erken bir tarihte 600'den fazla benzersiz IP adresinden vahşi doğada kaydedildi.

Etkinlik şu anda "geri arama girişimlerini ve 'whoami' yürütmesini test etmek" ile sınırlıdır, bu da tehdit aktörlerinin fırsatçı bir şekilde savunmasız sunucuları takip eden istismar için taradığını düşündürmektedir.

Saldırgan IP adreslerinin çoğunluğu Rusya'dan (22.674), ardından Singapur, Hong Kong, ABD, Çin, Hindistan, Brezilya, Tayvan, Japonya ve Ekvador'dan geliyor.

21 Ocak 2024 itibarıyla 11.000'den fazla Atlassian örneğinin internet üzerinden erişilebilir olduğu tespit edildi, ancak bunlardan kaçının CVE-2023-22527'ye karşı savunmasız olduğu şu anda bilinmiyor.

ProjectDiscovery araştırmacıları Rahul Maini ve Harsh Jaiswal, kusurun teknik analizinde, "CVE-2023-22527, Atlassian'ın Confluence Sunucusu ve Veri Merkezi'ndeki kritik bir güvenlik açığıdır" dedi.

"Bu güvenlik açığı, kimliği doğrulanmamış saldırganların Confluence örneğine OGNL ifadeleri enjekte etmesine izin verme potansiyeline sahiptir ve böylece rastgele kod ve sistem komutlarının yürütülmesini sağlar."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.