พบช่องโหว่ในซอฟต์แวร์ Confluence ของ Atlassian ซึ่งอยู่ภายใต้การโจมตีอย่างต่อเนื่อง ว่ากันว่ามีการใช้ช่องโหว่นี้ในการโจมตีโดยแฮกเกอร์ของประเทศจีน (Nation State Actor) ถึงแม้ว่ารายละเอียดจะยังกระจัดกระจายอยู่ก็ตาม

ช่องโหว่ Critical นี้ ใช้หมายเลย CVE คือ CVE-2023-22515 (CVSS score 10) เป็นช่องโหว่ Privilege Escalation ใน Atlassian Confluence Data Center และ Confluence Server โดยสามารถ Exploit โดยไม่เปิดเผยตัวตนหากเซิร์ฟเวอร์ที่มีช่องโหว่ถูกเปิดเผยต่ออินเทอร์เน็ตสาธารณะ ข้อบกพร่องดังกล่าวทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบ Confluence ภายในแอปพลิเคชันได้

Microsoft Threat Intelligence ได้เตือนผ่านทาง X platform ว่าช่องโหว่นี้ถูกใช้ในการโจมตีจริงแล้ว โดยผู้ไม่หวังที่อยู่เบื้องหลังการโจมตีนี้ชื่อ DarkShadow และ Oro0lxy ซึ่งพบว่ามี IP Address หลายแห่งที่โจมตีจากช่องโหว่ดังนี้

• 192.69.90[.]31
• 104.128.89[.]92
• 23.105.208[.]154
• 199.193.127[.]231

ในปี 2020 กระทรวงยุติธรรมสหรัฐฯ (U.S. Department of Justice) ได้ฟ้องชาวจีนสองคน Li Xiaoyu (李啸宇) และ Dong Jiazhi (董家志) ในข้อหาแคมเปญโจมตี 11 ประเทศที่พวกเขาขโมยข้อมูลองค์กรจากหลายบริษัท รวมถึงผู้ผลิตวัคซีนป้องกันโควิด Moderna ซึ่ง Li Xiaoyu ใช้นามแฝงในโลกออนไลน์ว่า Oro0lxy มีการกล่าวหาว่าบุคคลทั้งสองทำงานให้กระทรวงความมั่นคงแห่งรัฐของจีน และขณะนี้ทั้งคู่ถูกออกหมายจับโดย FBI

ระบบที่ได้รับผลกระทบ

• Confluence Data Center และ Confluence Server เวอร์ชัน 8.0.0 ถึง 8.5.1

แนวทางการลดผลกระทบ

• อัปเดตเวอร์ชันของ Confluence Data Center และ Confluence Server ให้เป็นเวอร์ชันที่แก้ไขแล้ว (8.3.3, 8.4.3, 8.5.2 หรือใหม่กว่า)
• ตรวจสอบสมาชิกของกลุ่ม confluence-administrators ให้ถูกต้อง หรือตรวจสอบ log การสร้างบัญชีผู้ดูแลระบบใหม่

อ้างอิง

• CVE-2023-22515 - Broken Access Control Vulnerability in Confluence Data Center and Server | Atlassian Support | Atlassian Documentation

• Microsoft Threat Intelligence on Twitter / X

• Two Chinese Hackers Working with the Ministry of State Security Charged with Global Computer Intrusion Campaign Targeting Intellectual Property and Confidential Business Information, Including COVID-19 Research

‍