يستغل المتسللون المدعومين من الدولة خطأ Atlassian الجديد “الحرج”

تقول شركة مايكروسوفت إن المتسللين المدعومين من الدولة الصينية يستغلون ثغرة أمنية ذات تصنيف “حرج” في برنامج Atlassian لاقتحام أنظمة العملاء.

وقال فريق استخبارات التهديدات التابع لشركة التكنولوجيا العملاقة في بريد على X، تويتر سابقًا، لاحظت وجود جهة فاعلة لتهديد الدولة القومية تسميها Storm-0062 تستغل خللًا خطيرًا تم الكشف عنه مؤخرًا في مركز بيانات وخادم Atlassian Confluence. حددت Microsoft سابقًا Storm-0062 باعتباره متسللًا ترعاه الدولة ومقره الصين.

لاحظت Microsoft أن ممثل تهديد الدولة القومية Storm-0062 يستغل CVE-2023-22515 في البرية منذ 14 سبتمبر 2023. وتم الكشف عن CVE-2023-22515 في 4 أكتوبر 2023. ويتم تتبع Storm-0062 من قبل الآخرين باسم DarkShadow أو Oro0lxy .

— استخبارات التهديدات من Microsoft (@MsftSecIntel) 10 أكتوبر 2023

قالت Microsoft إنها لاحظت إساءة استخدام فعلية للثغرة الأمنية ذات التصنيف الأقصى 10.0، والتي يتم تتبعها باسم CVE-2023-22515، منذ 14 سبتمبر، أي قبل حوالي ثلاثة أسابيع من الكشف العلني لـ Atlassian في 4 أكتوبر. البائع – في هذه الحالة Atlassian – ليس لديه أي وقت لإصلاح الخلل قبل استغلاله.

قامت شركة Atlassian بتحديث استشاراتها هذا الأسبوع للتأكد من أن لديها “أدلة تشير إلى أن جهة فاعلة معروفة في دولة قومية” تستغل الثغرة، والتي تقول الشركة إنها قد تسمح لمهاجم عن بعد بإنشاء حسابات مسؤول غير مصرح بها للوصول إلى خوادم Confluence.

Atlassian’s Confluence هو نظام ويكي تعاوني شائع على نطاق واسع تستخدمه الشركات في جميع أنحاء العالم لتنظيم العمل ومشاركته.

عندما سألتها TechCrunch، رفضت المتحدثة باسم Atlassian Ana Keltchina تحديد ما إذا كانت النتائج التي توصلت إليها الشركة تربط هذا الاستغلال بالصين، لكنها قالت إن الشركة “تعمل بشكل وثيق مع Microsoft في هذا الشأن”. ورفضت Atlassian التعليق على عدد عملاء الشركة الذين تعرضوا للاختراق نتيجة لهذه الثغرة الأمنية، أو ما إذا كانت الشركة قد رأت أي دليل على سرقة البيانات.

تنص نصيحة Atlassian على أن الشركة تلقت حتى الآن تقارير من “مجموعة قليلة من العملاء”. ليس من الواضح ما إذا كانت الشركة تعرف حتى الآن حجم استغلال العملاء. وعندما سُئل عما إذا كانت شركة Atlassian قادرة على تحديد ما إذا كانت بيئة العميل قد تعرضت للاختراق، رفض المتحدث التعليق.

وقال المتحدث: “إن أولويتنا هي أمان مثيلات عملائنا خلال هذه الثغرة الأمنية الحرجة، ونحن نتعاون مع شركاء استخبارات التهديدات الرائدين في الصناعة، مثل Microsoft، للحصول على معلومات إضافية قد تساعد العملاء في الاستجابة للثغرة الأمنية”. . “هذا تحقيق مستمر، ونحن نشجع العملاء على مشاركة الأدلة على التسوية لدعم هذه الجهود.”

قامت Atlassian، التي لاحظت أن الثغرة الأمنية تؤثر فقط على المثيلات المحلية لـ Confluence Data Center وConfluence Server، بإصدار تصحيح للخلل، وتحث المستخدمين على الترقية في أقرب وقت ممكن.