Сети были взломаны с помощью эксплойта для свежей 0-day уязвимости.
Объявление о продаже доступа к сетям 50 американских компаний было обнаружены исследователями Rapid7 на русскоязычном хакерском форуме XSS. По словам экспертов, продавец имеет хорошую репутацию на хакерском форуме. Плохая новость заключается в том, что продавец также планирует продать доступ к списку из 10 000 уязвимых машин.
Хакер смог получить доступ к серверам, используя критическую RCE-уязвимость, отслеживаемую как CVE-2022-26134 и затрагивающую все поддерживаемые версии Confluence Server и Data Center. В конце мая компания Atlassian предупредила клиентов об уязвимости, а уже в июне она была исправлена.
Однако вымогатели все равно используют уязвимость в дикой природе. Первыми CVE-2022-26134 начали использовать операторы AvosLocker и разработчики Cerber2021.
В связи с растущей популярностью эксплойта, специалисты настоятельно рекомендуют обновить Confluence Server до исправленной версии и поискать признаки их компрометации.
Напомним, мы ранее писали про эту RCE-уязвимость и эксплойт к ней.