Varios grupos de ransomware han comenzado a explotar activamente las fallas recientemente reveladas en Atlassian Confluence y Apache ActiveMQ.
La empresa de ciberseguridad Rapid7 dijo que observó la explotación de CVE-2023-22518 y CVE-2023-22515 en múltiples entornos de clientes, algunos de los cuales se han aprovechado para el despliegue del ransomware Cerber (también conocido como C3RB3R).
Ambas vulnerabilidades son críticas, ya que permiten a los actores de amenazas crear cuentas de administrador de Confluence no autorizadas y provocar una pérdida de confidencialidad, integridad y disponibilidad.
Atlassian, el 6 de noviembre, actualizó su aviso para señalar que observó “varios exploits activos e informes de actores de amenazas que usan ransomware” y que está revisando la puntuación CVSS de la falla de 9.1 a 10.0, lo que indica la gravedad máxima.
La escalada, dijo la compañía australiana, se debe al cambio en el alcance del ataque.
Las cadenas de ataque implican la explotación masiva de servidores vulnerables de Atlassian Confluence orientados a Internet para obtener una carga maliciosa alojada en un servidor remoto, lo que lleva a la ejecución de la carga útil del ransomware en el servidor comprometido.
Los datos recopilados por GreyNoise muestran que los intentos de explotación se originan en tres direcciones IP diferentes ubicadas en Francia, Hong Kong y Rusia.
Mientras tanto, Arctic Wolf Labs ha revelado que una grave falla de ejecución remota de código que afecta a Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) se está convirtiendo en un arma para entregar un troyano de acceso remoto basado en Go llamado SparkRAT, así como una variante de ransomware que comparte similitudes con TellYouThePass.
“La evidencia de explotación de CVE-2023-46604 en la naturaleza de una variedad de actores de amenazas con diferentes objetivos demuestra la necesidad de una rápida remediación de esta vulnerabilidad”, dijo la firma de ciberseguridad.
