Gli hacker non perdono tempo nel caso di divulgazione di vulnerabilità. L’ennesima conferma si è avuta con una vulnerabilità zero day in Atlassian Confluence da parte di Volexity, ora conosciuta come CVE-2022-26134.
CVE-2022-26134, i tentativi di exploit individuati da Barracuda Networks
Dalla prima notizia e dalla successiva pubblicazione di diversi proof of concept, i ricercatori di Barracuda Networks, fornitore di soluzioni di sicurezza cloud-first, hanno analizzato i dati provenienti dalle installazioni di tutto il mondo scoprendo molti tentativi di sfruttare questa vulnerabilità. I tentativi di exploit vanno da ricognizioni benigne ad alcuni tentativi relativamente complessi di infettare i sistemi con cryptominer e botnet DDoS.
Cos’è Atlassian Confluence e cos’è successo
Atlassian Confluence è un tool che offre documentazione collaborativa. Il 2 giugno sono state diffuse pubblicamente le informazioni su CVE-2022-26134.
Il fine settimana successivo diversi attori hanno usato la vulnerabilità, subito seguiti da attori malevoli. La vulnerabilità permette a utenti remoti non autenticati di creare nuovi account amministrativi, eseguire comandi privilegiati e assumere il controllo dei server.
I tentativi di exploit hanno avuto origine prevalentemente da IP russi, seguiti dagli USA, India, Olanda e Germania. Una precedente ricerca aveva dimostrato che gli attacchi originati da IP statunitensi vengono soprattutto da fornitori cloud. Analogamente, per la Germania, la maggior parte degli attacchi proveniva da provider di servizi di hosting.
I ricercatori di Barracuda hanno osservato un flusso costante di attacchi nel tempo, con alcuni picchi, uno in particolare il 13 giugno. Essi prevedono una quantità significativa di scansioni e che tali tentativi proseguiranno per qualche tempo.
Tenendo presente il livello costante di interesse verso questa vulnerabilità da parte dei cybercriminali, è importante prendere iniziative per la protezione dei sistemi. Ora è il momento giusto per il patching, soprattutto se il sistema è esposto a Internet. Porre un web application firewall davanti a questi sistemi garantisce una buona difesa dagli attacchi zero day e da altre vulnerabilità.
