VietNetwork.Vn

Các tác nhân đe dọa đang tích cực khai thác lỗ hổng bảo mật nghiêm trọng hiện đã được vá, ảnh hưởng đến Trung tâm dữ liệu Atlassian Confluence và Máy chủ Confluence để tiến hành khai thác tiền điện tử bất hợp pháp trên các phiên bản dễ bị tấn công.


Nhà nghiên cứu Abdelrahman Esmail của Trend Micro cho biết : "Các cuộc tấn công liên quan đến những tác nhân đe dọa sử dụng các phương pháp như triển khai tập lệnh shell và trình khai thác XMRig, nhắm mục tiêu vào các điểm cuối SSH, vô hiệu hóa các quy trình khai thác tiền điện tử cạnh tranh và duy trì tính liên tục thông qua các công việc cron".

Lỗ hổng bảo mật bị khai thác là CVE-2023-22527, một lỗi nghiêm trọng nhất trong các phiên bản cũ hơn của Atlassian Confluence Data Center và Confluence Server có thể cho phép kẻ tấn công chưa xác thực thực hiện mã từ xa. Công ty phần mềm Úc đã giải quyết lỗ hổng này vào giữa tháng 1 năm 2024.


Trend Micro cho biết họ đã quan sát thấy một số lượng lớn các nỗ lực khai thác lỗ hổng từ giữa tháng 6 đến cuối tháng 7 năm 2024, lợi dụng nó để thả trình khai thác XMRig trên các máy chủ chưa vá. Ít nhất ba tác nhân đe dọa khác nhau được cho là đứng sau hoạt động độc hại -

• Khởi chạy trình khai thác XMRig thông qua tệp tải trọng ELF bằng các yêu cầu được tạo đặc biệt
• Sử dụng một tập lệnh shell trước tiên sẽ chấm dứt các chiến dịch đào tiền điện tử cạnh tranh (ví dụ: Kinsing), xóa tất cả các tác vụ cron hiện có, gỡ cài đặt các công cụ bảo mật đám mây khỏi Alibaba và Tencent, và thu thập thông tin hệ thống, trước khi thiết lập một tác vụ cron mới để kiểm tra kết nối máy chủ chỉ huy và kiểm soát (C2) sau mỗi năm phút và khởi chạy trình khai thác

Esmail cho biết: "Với việc liên tục bị các tác nhân đe dọa khai thác, CVE-2023-22527 gây ra rủi ro bảo mật đáng kể cho các tổ chức trên toàn thế giới".

"Để giảm thiểu rủi ro và mối đe dọa liên quan đến lỗ hổng bảo mật này, người quản trị nên cập nhật phiên bản Confluence Data Center và Confluence Server lên phiên bản mới nhất hiện có càng sớm càng tốt."