Η Microsoft αναφέρει ότι μια ομάδα κρατικών χάκερ που υποστηρίζεται από την Κίνα, γνωστή ως ‘Storm-0062‘ (επίσης γνωστή ως DarkShadow ή Oro0lxy), εκμεταλλεύεται μια κρίσιμη zero-day ευπάθεια που πειτρέπει privilege escalation, στο Atlassian Confluence Data Center από τις 14 Σεπτεμβρίου 2023.

Δείτε επίσης: Atlassian: Διορθώνει κρίσιμο Confluence zero-day bug

Η Atlassian Confluence είχε ήδη ενημερώσει τους πελάτες για την ενεργή εκμετάλλευση του CVE-2023-22515, όταν το αποκάλυψε στις 4 Οκτωβρίου 2023. Ωστόσο, η εταιρεία απέκρυψε τα ακριβή στοιχεία σχετικά με τις ομάδες χάκερ που εκμεταλλεύονται την ευπάθεια.

Σήμερα, οι αναλυτές της Microsoft Threat Intelligence μοιράστηκαν περισσότερες πληροφορίες σχετικά με τη συμμετοχή της Storm-0062 στην εκμετάλλευση του CVE-2023-22515 και δημοσίευσαν τέσσερις παραβατικές διευθύνσεις IP σε ένα νήμα στο Twitter.

Λαμβάνοντας υπόψη ότι η Atlassian παρέχει διαθέσιμες ενημερώσεις ασφαλείας από τις αρχές Οκτωβρίου, η Storm-0062 εκμεταλλεύτηκε το σφάλμα zero-day για περίπου τρεις εβδομάδες, δημιουργώντας αυθαίρετους λογαριασμούς διαχειριστή σε εκτεθειμένα σημεία πρόσβασης.

Η ομάδα Storm-0062 είναι μια ομάδα χάκερ που συνδέεται με το Υπουργείο Κρατικής Ασφάλειας της Κίνας και είναι γνωστή για την επίθεσή της σε λογισμικά, μηχανικούς, ιατρικές έρευνες, κυβερνητικούς, άμυνας και τεχνολογικές εταιρείες στις Η.Π.Α., το Ηνωμένο Βασίλειο, την Αυστραλία και διάφορες ευρωπαϊκές χώρες για τη συλλογή πληροφοριών.

Τον Ιούλιο του 2020, οι Ηνωμένες Πολιτείες κατηγόρησαν τους κινέζους χάκερ για την κλοπή δεδομένων από κυβερνητικούς φορείς και εταιρείες σε όλο τον κόσμο. Σύμφωνα με τα δεδομένα που συλλέχθηκαν από την εταιρεία κυβερνοασφάλειας Greynoise, η εκμετάλλευση του CVE-2023-22515 φαίνεται να είναι πολύ περιορισμένη.

Ωστόσο, ένα ανεξάρτητο PoC της εκμετάλλευσης και λεπτομέρειες τεχνικού χαρακτήρα για την ευπάθεια που δημοσιεύτηκαν από τους ερευνητές της Rapid7 χθες μπορεί να αλλάξουν σύντομα το τοπίο της εκμετάλλευσης.

Δείτε ακόμα: Η Atlassian απολύει το 5% του προσωπικού της

Οι αναλυτές της Rapid7 έδειξαν πώς οι επιτιθέμενοι μπορούν να παρακάμψουν τους υπάρχοντες ελέγχους ασφαλείας του προϊόντος και ποια εντολή cURL μπορεί να χρησιμοποιηθεί για να σταλεί ένα πλαστοποιημένο αίτημα HTTP σε ευάλωτα σημεία που δημιουργούν νέους διαχειριστές με κωδικό πρόσβασης που είναι γνωστός στον επιτιθέμενο. Στη λεπτομερή ανάλυσή τους περιλαμβάνεται επίσης μια επιπλέον αίτηση που εξασφαλίζει ότι άλλοι χρήστες δεν θα λάβουν ειδοποίηση για την ολοκλήρωση της εγκατάστασης, καθιστώντας την αόρατη.

Εάν δεν έχετε ήδη ενημερώσει το σύστημά σας, συνιστάται να αναβαθμίσετε σε μία από τις ακόλουθες σταθερές εκδόσεις του Atlassian Confluence: 

  • 8.3.3 ή νεότερη
  • 8.4.3 ή νεότερη
  • 8.5.2 (Long-Term Support release) ή νεότερη

Σημειώστε ότι η αδυναμία CVE-2023-22515 δεν επηρεάζει τις εκδόσεις Confluence Data Center και Server πριν από την έκδοση 8.0.0, οπότε οι χρήστες παλαιότερων εκδόσεων δεν χρειάζεται να προβούν σε κάποια ενέργεια. Το ίδιο ισχύει και για τις εγκαταστάσεις που φιλοξενούνται από την Atlassian στους τομείς atlassian.net, οι οποίες δεν είναι ευάλωτες σε αυτές τις επιθέσεις

.

Για περισσότερες λεπτομέρειες σχετικά με τη παραβίαση, οδηγίες αναβάθμισης και μια πλήρη λίστα με τις επηρεαζόμενες εκδόσεις προϊόντων, ελέγξτε το ανακοινωθέν ασφαλείας της Atlassian.

Δείτε επίσης: Atlassian: Η πρόσφατη διαρροή δεδομένων προέρχεται από εφαρμογή τρίτου μέρους

Είναι σημαντικό να κατανοούμε τους κοινούς στόχους επιθέσεων των κυβερνητικών χάκερ. Αυτοί οι χάκερ, που έχουν την υποστήριξη των κρατών τους, συχνά εστιάζουν σε κρίσιμα σημεία μιας χώρας, όπως την αμυντική της βιομηχανία, τα οικονομικά της συστήματα και τη διοίκηση της πληροφοριών.  Συνήθως, οι επιθέσεις αυτές αποσκοπούν στην κλοπή απόρρητων πληροφοριών, την επιβολή πολιτικής ή την διατάραξη κρίσιμων λειτουργιών. Παρακάτω, θα αναφερθούμε εν συντομία σε κάποια σημεία. 

Αμυντική Βιομηχανία

Οι χάκερ γνωρίζουν καλά ότι η αμυντική βιομηχανία είναι κρίσιμη για την εθνική ασφάλεια μιας χώρας. Συχνά, στοχεύουν σε μυστικές αναφορές, σχέδια για νέα οπλικά συστήματα, και άλλη ευαίσθητη πληροφορία, την οποία μπορούν να χρησιμοποιήσουν για να επηρεάσουν ή να διαταράξουν την αμυντική ισορροπία μιας χώρας. 

Οικονομικά Συστήματα

Επίσης, οι κυβερνητικοί χάκερ πραγματοποιούν επιθέσεις στα οικονομικά συστήματα μιας χώρας, ώστε να επηρεάσουν την οικονομία της και να σπείρουν αναστάτωση. Η επίθεση σε τράπεζες, διαδικτυακές χρηματιστηριακές πλατφόρμες ή άλλα οικονομικά δίκτυα μπορεί να έχει βαριές συνέπειες για την οικονομική σταθερότητα της χώρας-στόχου. 

Συστήματα Πληροφορικής

Τέλος, οι δολιοφθόρες αυτών των χάκερ δεν περιορίζονται μόνο στην αμυντική βιομηχανία και τα οικονομικά συστήματα. Τα συστήματα πληροφορικής και άλλες υποδομές που είναι κρίσιμης σημασίας για την λειτουργία της κυβέρνησης της χώρας αποτελούν επίσης στόχο τους. Οι επιθέσεις αυτές περιλαμβάνουν την κλοπή εμπιστευτικών δεδομένων, την αποκάλυψη στρατηγικών και την διατάραξη της λειτουργίας του συστήματος. 

Επομένως, είναι σημαντικό να κατανοήσουμε την ευρύτητα και την πολυπλοκότητα των επιθέσεων από κρατικούς χάκερ, καθώς και το πώς αυτές οι επιθέσεις μπορούν να επηρεάσουν τις κρίσιμες λειτουργίες μιας χώρας.

Πηγή: bleepingcomputer