最近讯息导向中介软体ActiveMQ、DevOps协作平台Confluence分别出现重大漏洞CVE-2023-46604、CVE-2023-22518,如今皆有骇客对其发动勒索软体攻击、加密档案,而造成灾情。
其中,值得留意的是针对Confluence的攻击行动,因为过程中骇客不只利用最近才修补的漏洞,还串连另一个上个月揭露的重大漏洞进行攻击,这代表受害组织两个漏洞都还没修补,而让对方有机可乘。
【攻击与威胁】
威胁情报业者GreyNoise提出警告,他们看到漏洞攻击行动从11月5日开始出现,资安业者Rapid7则是在客户的Confluence伺服器上,发现攻击者不仅利用CVE-2023-22518,还利用另一个漏洞CVE-2023-22515(CVSS风险评为10分)进行权限提升,后续攻击者从特定IP位址下载恶意酬载,导致Confluence伺服器感染勒索软体Cerber。 而对于该漏洞曝险的状态,Shadowserver基金会指出,全球有超过2.4万个Confluence系统曝露于网际网路,但究竟有多少执行个体存在漏洞,仍有待厘清。 资料来源 10月底讯息导向中介软体ActiveMQ公告修补漏洞CVE-2023-46604,因CVSS风险高达10分而引起大家关注,继资安业者Rapid7发现勒索软体HelloKitty的攻击行动,前几天又有研究人员看到新的漏洞攻击。 11月3日资安业者Arctic Wolf指出,利用上述漏洞的攻击行动很可能在10月10日就开始,他们最初看到有人在Windows Server伺服器上,部署恶意程式SparkRAT,此为Go语言打造的跨平台木马程式,会为受害伺服器建立指纹,并回传C2。后来,有第二组人马从另一个IP位址,进行两起勒索软体攻击,其中一起就是Rapid7揭露的勒索软体HelloKitty攻击,这是针对Windows电脑而来的攻击行动;而另一起攻击行动则是针对Linux版ActiveMQ伺服器而来,攻击者利用勒索软体TellYouThePass的变种「HelloKittyCat」加密档案。 值得留意的是,这些勒索软体攻击行动,不仅攻击来源IP位址相同,所使用的比特币钱包位址也一样,很有可能是同一组人马所为。