По состоянию на 5 ноября 2023 г. специалисты Rapid7 Managed Detection and Response (MDR) отмечают использование Atlassian Confluence в различных клиентских средах, в том числе для развертывания программ-вымогателей. Rapid 7 подтвердила, что по крайней мере некоторые из эксплойтов направлены на CVE-2023-22518, уязвимость неправильной авторизации, затрагивающую Confluence Data Center и Confluence Server.
Компания Atlassian опубликовала уведомление об этой уязвимости 31 октября 2023 года. MDR также наблюдала попытки эксплуатации CVE-2023-22515, критической уязвимости управления доступом в Confluence, о которой стало известно 4 октября. Цепочка выполнения процессов в большинстве случаев совпадает в различных средах, что свидетельствует о возможности массовой эксплуатации уязвимых серверов Atlassian Confluence, выходящих в Интернет.
Indicators of Compromise
IPv4
- 193.176.179.41
- 193.43.72.11
- 45.145.6.112
Onion Domains
- j3qxmk6g5sk3zw62i2yhjnwmhm55rfz47fdyfkhaithlpelfjdokdxad.onion
MD5
- 81b760d4057c7c704f18c3f6b3e6b2c4
SHA256
- 4ed46b98d047f5ed26553c6f4fded7209933ca9632b998d265870e3557a5cdfe
