30 de agosto de 2024Ravie LakshmananCriptosecuestro / Vulnerabilidad Los actores de amenazas están explotando activamente una falla de seguridad crítica ahora parcheada que afecta al Centro de datos y al Servidor Confluence de Atlassian para realizar minería de criptomonedas ilícita en instancias susceptibles. «Los ataques involucran a actores de amenazas que emplean métodos como la implementación de scripts de shell y mineros XMRig, apuntando a puntos finales SSH, matando procesos de minería de criptomonedas competitivos y manteniendo la persistencia a través de trabajos cron», dijo el investigador de Trend Micro Abdelrahman Esmail. La vulnerabilidad de seguridad explotada es CVE-2023-22527, un error de máxima gravedad en versiones anteriores del Centro de datos y el Servidor Confluence de Atlassian Confluence que podría permitir a atacantes no autenticados lograr la ejecución remota de código. La empresa de software australiana lo abordó a mediados de enero de 2024. Trend Micro dijo que observó una gran cantidad de intentos de explotación contra la falla entre mediados de junio y fines de julio de 2024 que la aprovecharon para dejar caer el minero XMRig en hosts sin parches. Se dice que al menos tres actores de amenazas diferentes están detrás de la actividad maliciosa: Lanzar el minero XMRig a través de una carga útil de archivo ELF utilizando solicitudes especialmente diseñadas Usar un script de shell que primero termina las campañas de cryptojacking de la competencia (por ejemplo, Kinsing), elimina todos los trabajos cron existentes, desinstala las herramientas de seguridad en la nube de Alibaba y Tencent y recopila información del sistema, antes de configurar un nuevo trabajo cron que verifica la conectividad del servidor de comando y control (C2) cada cinco minutos y lanza el minero «Con su explotación continua por parte de actores de amenazas, CVE-2023-22527 presenta un riesgo de seguridad significativo para las organizaciones de todo el mundo», dijo Esmail. «Para minimizar los riesgos y amenazas asociados con esta vulnerabilidad, los administradores deben actualizar sus versiones de Confluence Data Center y Confluence Server a las últimas versiones disponibles lo antes posible». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.