ผู้เชี่ยวชาญเตือน กลุ่ม Ransomware ใช้ประโยชน์จากช่องโหว่ของ Atlassian และ Apache

481/66 (IT) ประจำวันพุธที่ 8 พฤศจิกายน 2566

Rapid7 บริษัทรักษาความปลอดภัยทางไซเบอร์ได้สังเกตเห็นกลุ่ม Ransomware หลายกลุ่ม เริ่มใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยใน Atlassian Confluence และ Apache ActiveMQ หมายเลขช่องโหว่ CVE-2023-22518 และ CVE-2023-22515 โดยช่องโหว่ทั้งสองมีความสำคัญอย่างยิ่ง ทำให้ผู้คุกคามสามารถสร้างบัญชีผู้ดูแลระบบ Confluence ที่ไม่ได้รับอนุญาต และทำให้ข้อมูลสูญหายได้ โดยเมื่อวันที่ 6 พฤศจิกายน Atlassian ได้อัปเดตคำแนะนำโดยสังเกตพบว่ามีการใช้ช่องโหว่อยู่หลายครั้ง และกำลังปรับคะแนน CVSS ของช่องโหว่จากระดับ 9.8 เป็น 10.0 ซึ่งบ่งชี้ถึงความรุนแรงสูงสุด การทวีความรุนแรงที่เกิดขึ้นนั้น เกิดจากการเปลี่ยนแปลงขอบเขตของการโจมตี โดยกลุ่มการโจมตีและการแสวงหาผลประโยชน์จำนวนมากจากเซิร์ฟเวอร์ Atlassian Confluence ที่ใช้งานอินเทอร์เน็ตซึ่งมีช่องโหว่ เพื่อดึงข้อมูลเพย์โหลดที่เป็นอันตรายซึ่งโฮสต์บนเซิร์ฟเวอร์ระยะไกล ซึ่งนำไปสู่การดำเนินการเพย์โหลดแรนซัมแวร์บนเซิร์ฟเวอร์ที่ถูกบุกรุก และข้อมูลที่รวบรวมโดย GreyNoise แสดงให้เห็นว่าความพยายามในการใช้ประโยชน์จากช่องโหว่นั้น มาจากที่อยู่ IP ที่แตกต่างกันสามประเทศ ได้แก่ ในฝรั่งเศส ฮ่องกง และรัสเซีย

แหล่งข่าว https://thehackernews.com/2023/11/experts-warn-of-ransomware-hackers.html