Microsoft entdeckt chinesische Hackergruppe Storm-0062, die kritische Sicherheitslücke in Atlassian Software ausnutzt

Microsoft warnt vor chinesischer Hackergruppe Storm-0062, die eine kritische Sicherheitslücke in der Software Atlassian Confluence ausnutzt. Bereits im Oktober hatte Atlassian seine Kunden über die Ausnutzung von CVE-2023-22515 informiert, jedoch ohne genaue Details über die beteiligten Bedrohungsgruppen preiszugeben. Doch nun haben Microsoft Threat Intelligence-Analysten weitere Informationen veröffentlicht und sogar vier verdächtige IP-Adressen auf Twitter gepostet.

Storm-0062, auch bekannt als DarkShadow oder Oro0lxy, ist eine staatliche Hackergruppe, die angeblich Verbindungen zum chinesischen Ministerium für Staatssicherheit hat. Sie ist dafür berüchtigt, Unternehmen in den Bereichen Software, Ingenieurwesen, Medizin, Regierung, Verteidigung und Technologie in den USA, Großbritannien, Australien und verschiedenen europäischen Ländern anzugreifen, um Informationen zu sammeln. Die Vereinigten Staaten haben bereits im Juli 2020 chinesische Hacker wegen des Diebstahls von Terabytes an Daten angeklagt.

Bisher ist die Ausnutzung der Sicherheitslücke CVE-2023-22515 laut dem Cybersicherheitsunternehmen Greynoise begrenzt. Doch ein gestern von Rapid7-Forschern veröffentlichter Proof-of-Concept-Exploit und detaillierte technische Informationen könnten das Ausnutzungsszenario bald ändern. Die Forscher haben gezeigt, wie Angreifer Sicherheitsprüfungen umgehen können, um neue Administrator-Konten mit einem bekannten Passwort zu erstellen. Zusätzlich haben sie eine Anfrage entwickelt, die sicherstellt, dass andere Benutzer nicht über die Kompromittierung informiert werden.

Atlassian hat bereits Sicherheitsupdates für betroffene Produkte veröffentlicht und Benutzern ausreichend Zeit gegeben, darauf zu reagieren, bevor der Proof-of-Concept-Exploit öffentlich zugänglich wurde. Wenn Sie also noch nicht auf eine behobene Version von Atlassian Confluence aktualisiert haben, wird dies dringend empfohlen.

Es ist wichtig zu beachten, dass die Schwachstelle CVE-2023-22515 nur die Confluence Data Center- und Server-Versionen vor 8.0.0 betrifft. Benutzer älterer Versionen müssen daher keine Maßnahmen ergreifen. Das Gleiche gilt auch für Atlassian-gehostete Instanzen unter den Domains atlassian.net, die nicht von diesen Angriffen betroffen sind.

Für weitere Informationen zu den Kompromittierungsindikatoren, Upgrade-Anweisungen und einer vollständigen Liste der betroffenen Produktversionen empfiehlt es sich, die Sicherheitsmitteilung von Atlassian zu konsultieren. In der Zwischenzeit sollten wir alle wachsam bleiben und sicherstellen, dass unsere Software stets auf dem neuesten Stand ist. Denn wer möchte schon, dass chinesische Hacker unser Konto mit lustigen Passwörtern wie “Oro0lxy123” übernehmen?

Schlagwörter: Storm0062 + Atlassian Confluence + SchwachstellenAusnutzung

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 11. Oktober 2023