Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Giugno 2022 19:10
Gli hacker stanno sfruttando attivamente una nuova vulnerabilità zero-day di Atlassian Confluence tracciata come CVE-2022-26134 per installare web shell, senza che al momento siano disponibili soluzioni.
Oggi Atlassian ha rilasciato un avviso di sicurezza in cui rivela che la CVE-2022-26134 è una vulnerabilità critica di esecuzione di codice in modalità remota non autenticata (RCE), rilevata sia in Confluence Server che nei Data Center.
Atlassian afferma di aver confermato la vulnerabilità in Confluence Server 7.18.0 e di ritenere che anche Confluence Server e Data Center 7.4.0 e versioni successive siano vulnerabili.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’avviso avverte che gli attori delle minacce stanno sfruttando attivamente Confluence Server 7.18.0.
Poiché non sono disponibili patch, Atlassian consiglia ai clienti di rendere inaccessibili i propri server con uno di questi due metodi:
Non ci sono altri modi per mitigare questa vulnerabilità al momento.
Le organizzazioni che utilizzano Atlassian Cloud (accessibile tramite atlassian.net) non sono interessate da questa vulnerabilità.
Atlassian sta lavorando attivamente a una patch e rilascerà ulteriori informazioni nel proprio avviso non appena sarà disponibile.
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto questo zero-day al suo “Catalogo delle vulnerabilità sfruttate note” richiedendo alle agenzie federali di bloccare tutto il traffico Internet verso i server Confluence entro domani, 3 giugno.
In una divulgazione coordinata, la società di sicurezza informatica Volexity ha spiegato che la vulnerabilità è stata scoperta durante il fine settimana del Memorial Day durante l’esecuzione della risposta agli incidenti.
Dopo aver condotto le indagini, Volexity ha potuto riprodurre l’exploit contro l’ultima versione di Confluence Server e lo ha rivelato ad Atlassian il 31 maggio.
“Dopo un’analisi approfondita dei dati raccolti, Volexity è stata in grado di determinare la compromissione del server derivata da un utente malintenzionato che ha lanciato un exploit per ottenere l’esecuzione di codice in modalità remota”
spiega un post sul blog di Volexity.
“Volexity è stata successivamente in grado di ricreare l’exploit e identificare una vulnerabilità zero-day che ha un impatto sulle versioni completamente aggiornate di Confluence Server”.
Nella violazione analizzata da Volexity, gli attori delle minacce hanno installato BEHINDER, una shell Web JSP che consente agli attori delle minacce di eseguire comandi sul server compromesso da remoto.
Gli attori delle minacce hanno quindi utilizzato BEHINDER per installare la shell web China Chopper e un semplice strumento di caricamento file come backup.
Dall’indagine di Volexity, gli attori delle minacce hanno scaricato le tabelle utente del server Confluence, scritto shell web aggiuntive e alterato i registri di accesso per eludere il rilevamento.
Volexity afferma che molteplici attori delle minacce provenienti dalla Cina stiano utilizzando questi exploit.
Poiché non sono disponibili patch, Volexity consiglia inoltre agli amministratori di Confluence di disconnettere i propri server da Internet fino a quando Atlassian non rilascerà una correzione.
Volexity ha rilasciato un elenco di indirizzi IP dietro gli attacchi e le regole Yara per identificare l’attività della shell web sui server Confluence.
RedazioneNegli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...
Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...
Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi...
Negli ultimi giorni, un utente del forum underground “BreachForums” ha pubblicato un annuncio riguardante la presunta vendita di accessi a caselle di posta elettronica appartenenti al Mi...
Negli Stati Uniti è stata individuata una nuova frode: i criminali inviano false richieste di riscatto via posta per conto del gruppo BianLian. Le buste indicano che il mittente è “BI...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
