Linux-ботнеты активно используют уязвимости Atlassian Confluence

Несколько Linux-ботнетов начали использовать уязвимость CVE-2021-26084 в ПО Confluence Server и Confluence Data Center, позволяющей выполнить произвольный код. Уязвимость связана с некорректной обработкой входных данных и может быть использована для обхода аутентификации и выполнения вредоносных OGNL команд, позволяющих полностью скомпрометировать уязвимую систему. Специалисты предупреждали о росте количества атак с использованием этой уязвимости еще в прошлом году.

Также сообщается об использовании злоумышленниками свежей 0-day уязвимости CVE-2022-26134. Она тоже затрагивает ПО Atlassian Confluence Server и Data Center. После того, как в Интернете были опубликованы доказательства концепции эксплоитов для CVE-2022-26134, компания GreyNoise заявила, что обнаружила почти десятикратное увеличение числа активных эксплойтов: с 23 IP-адресов, пытавшихся использовать эту уязвимость, до более чем 200.

Среди этих атакующих исследователи Lacework Labs обнаружили три ботнета, отслеживаемые как Kinsing , Hezb и Dark.IoT, известные за свои атаки на уязвимые Linux-серверы.

"Эксплойты с использованием Confluence всегда были крайне популярны у злоумышленников", – пояснили в Lacework Lab. "Хотя мы наблюдаем большую активность, она все еще низка по сравнению с эксплойтами уязвимостей log4j или apache".