微軟警告與中國相關的APT團體:Storm-0062利用 Atlassian Confluence Server 和 Confluence Data Center 近日披露的嚴重零日漏洞CVE-2023-22515進行攻擊。外媒報導GitHub上已有CVE-2023-22515的概念驗證(POC),這代表可能存在大規模的漏洞利用。
CVE-2023-22515(CVSS評分10分)於10月初被披露,Atlassian 承認披露之前它已被用作零日漏洞。研究人員表示,CVE-2023-22515最初被標記為權限升級問題,但它無需身份驗證即可遠端利用,並且應該被視為更類似於程式碼執行工具。因此,Atlassian 隨後更新公告,將CVE-2023-22515標記為損壞的存取控制問題。
微軟近日提供CVE-2023-22515相關攻擊活動更多詳細資料,微軟表示相關活動自 9 月 14 日以來一直非常活躍。在一系列推文中,它發現了四個IP位址與CVE-2023-22515 漏洞利用流量相關;此外,微軟還指出,任何透過網路連接到易受攻擊的應用程式的設備都可以利用 CVE-2023-22515 在應用程式中建立 Confluence 管理員帳戶。
相關文章:五眼聯盟公布 2022 年遭駭最嚴重 12 個漏洞
微軟指出,Storm-0062 APT 也稱為 DarkShadow 或 Oro0lxy。這兩個名字都是中國國家駭客李曉宇(Li Xiaoyu,音譯)與董家智(Dong Jiazhi,音譯)的化名,他們於 2020年因「開發 COVID-19 疫苗、測試技術和治療的公司的電腦網路漏洞」而被美國司法部起訴。
微軟報告指出,與中國相關的網路威脅組織繼續在全球展開複雜的活動,針對美國國防和關鍵基礎設施、南海沿岸國家,甚至中國的戰略夥伴。
軟體供應鏈攻擊的擔憂
Confluence的協作環境可以包含內部專案及其客戶和合作夥伴的敏感資料,這意味著潛伏在其文件中的入侵者可以收集他們所需的所有情報,以對這些第三方發動後續攻擊。
資安專家指出,CVE-2023-22515這種零日漏洞「是專門為污染應用程式而設計的,從而使這些中國網路間諜能夠使用 Confluence應用程式作為對無數組織的攻擊媒介。這代表了系統性供應鏈攻擊。大多數企業和政府機構都使用Confluence,然而Confluence可能被劫持以進行跳島攻擊。
企業組織應該做好應對大規模漏洞利用攻擊的準備,因為現在已經有了利用CVE-2023-22515漏洞的概念驗證,而Confluence應用程式一直以來都受到網路犯罪組織的歡迎。
微軟建議,擁有易受攻擊的 Confluence 應用程式的組織應盡快升級到固定版本:8.3.3、8.4.3、8.5.2 或更高版本。並且應該將易受攻擊的 Confluence 應用程式與公開網路隔離,直到確認升級到安全版本。除了修補之外,企業組織還必須加強留意對Storm-0062 APT 組織的攻擊行為以進行防範。
本文轉載自DarkReading。