De manera reciente, Sophos Labs realizó una investigación que reveló una vulnerabilidad grave dentro Confluence, la intranet central de Atlassian. Si bien la cantidad de servidores vulnerables aún es baja, Sophos detectó una incidencia alta de ataques contra este tipo de servidores, que se ejecutan en Windows o Linux. Dos de esos ataques, dieron como resultado el despliegue de cargas útiles del ransomware Cerber.

La vulnerabilidad, CVE-2022-26134, permite que un atacante genere un webshell de acceso remoto, sin escribir ninguna clase de código en el almacenamiento local del servidor. Atlassian ha publicado actualizaciones del producto (que también solucionan otras vulnerabilidades relacionadas con la seguridad) y estrategias de mitigación, que la mayoría de sus clientes parecen estar implementando.

Pero todo esto tiene una particularidad destacable: la mayoría de casos que Sophos detectó parecen estar automatizados, y algunos de los atacantes usan un shell web sin archivos para propagar varias cargas útiles en un solo movimiento, incluidos bots tipo Mirai; un paquete de Linux malicioso llamado pwnkit; un criptominero conocido como z0miner; y shells web basados ​​en archivos, escritos en formatos ASP o PHP.