Se descubrió que los actores de amenazas oportunistas están explotando activamente una falla de seguridad crítica descubierta recientemente en la implementación de Atlassian Confluence en Windows y Linux para implementar shells web que conducen a la ejecución de criptógrafos en sistemas comprometidos.

rastreado como CVE-2021-26084 (Puntuación CVSS: 9,8) La vulnerabilidad se refiere a una falla de inserción del lenguaje de navegación de gráficos de objetos (OGNL) que podría explotarse para ejecutar la ejecución de código arbitrario en una instancia de Confluence Server o Data Center.

«Un atacante remoto podría explotar esta vulnerabilidad enviando una solicitud HTTP generada que contenga un parámetro malicioso a un servidor vulnerable», dijeron los investigadores de Trend Micro en un registro técnico que describe la vulnerabilidad. «La explotación exitosa podría conducir a la ejecución de código arbitrario en el contexto de seguridad del servidor afectado».

La vulnerabilidad encontrada en Atlassian Confluence Server and Data Center Webwork se debe a una validación insuficiente de la entrada proporcionada por el usuario, lo que hace que el analizador evalúe declaraciones no autorizadas incrustadas en expresiones OGNL.

Los feroces ataques se producen después de que el comando cibernético de EE. UU. advirtiera sobre intentos de explotación masiva después de que se anunciara la vulnerabilidad a fines de agosto de este año.

En uno de esos ataques de Trend Micro, se encontró que el troyano y el cryptojacker z0Miner se actualizaron para usar errores de ejecución remota de código (RCE) para distribuir cargas útiles en la siguiente fase, que actúa como un canal para mantener la estabilidad y desplegar herramientas de software de criptomonedas. En un análisis independiente, Imperva confirmó los hallazgos y reveló intentos de intrusión similares destinados a ejecutar el minero de criptomonedas XMRig y otros scripts después de la explotación.

Imperva, Juniper y Lacework también identificaron abusos por parte de Muhstik, una botnet vinculada a China conocida por su capacidad basada en gusanos para infectar servidores Linux e Internet de las cosas desde al menos 2018.

Además, el equipo de informes de amenazas de 42 Palo Alto Networks dijo que identificó y evitó ataques que se organizaron para cargar los archivos de contraseñas de sus clientes y descargar scripts de malware que eliminaron al minero e incluso abrieron un shell inverso interactivo en la máquina.

«Como suele ser el caso con las vulnerabilidades de RCE, los atacantes se apresurarán y explotarán los sistemas afectados para su propio beneficio», dijeron los investigadores de Impervy. «Las vulnerabilidades de RCE pueden permitir fácilmente que los actores de amenazas exploten los sistemas afectados para obtener ganancias monetarias fáciles al instalar criptomonedas y disfrazar sus actividades, explotando así los recursos de procesamiento del objetivo».