I ricercatori Barracuda identificano un flusso costante di attacchi mirati a sfruttare la vulnerabilità zero day di Atlassian Confluence

redazione

In seguito alla divulgazione coordinata di una vulnerabilità zero day in Atlassian Confluence da parte di Volexity, ora conosciuta come CVE-2022-26134, gli hacker non hanno perso tempo. Dalla prima notizia e dalla successiva pubblicazione di diversi proof of concept, i ricercatori di Barracuda Networks, principale fornitore di soluzioni di sicurezza cloud-first, hanno analizzato i dati provenienti dalle installazioni di tutto il mondo scoprendo molti tentativi di sfruttare questa vulnerabilità. I tentativi di exploit vanno da  ricognizioni benigne ad alcuni tentativi relativamente complessi di infettare i sistemi con cryptominer e botnet DDoS.

Atlassian Confluence è un tool che offre documentazione collaborativa. Il 2 giugno sono state diffuse pubblicamente le informazioni su CVE-2022-26134. Il fine settimana successivo diversi attori hanno usato la vulnerabilità, subito seguiti da attori malevoli. La vulnerabilità permette a utenti remoti non autenticati di creare nuovi account amministrativi, eseguire comandi privilegiati e assumere il controllo dei server.  

I tentativi di exploit hanno avuto origine prevalentemente da IP russi, seguiti dagli USA, India, Olanda e Germania. Una precedente ricerca aveva dimostrato che gli attacchi originati da IP statunitensi vengono soprattutto da fornitori cloud. Analogamente, per la Germania, la maggior parte degli attacchi proveniva da provider di servizi di hosting. 

I ricercatori di Barracuda hanno osservato un flusso costante di attacchi nel tempo, con alcuni picchi, uno in particolare il 13 giugno. Essi prevedono una quantità significativa di scansioni e che tali tentativi proseguiranno per qualche tempo.

Tenendo presente il livello costante di interesse verso questa vulnerabilità da parte dei cybercriminali, è importante prendere iniziative per la protezione dei sistemi. Ora è il momento giusto per il patching, soprattutto se il sistema è esposto a Internet. Porre un web application firewall davanti a questi sistemi garantirà una buona difesa dagli attacchi zero day e da altre vulnerabilità.