Nun ist Gewissheit, was man bereits ahnen konnte: Eine Zero-Day-Schwachstelle in Atlassians Confluence Data Center und Server wurde bereits seit September von Hackern ausgenutzt. Laut Microsoft ist die chinesische Gruppe "Storm-0062", auch bekannt als Darkshadow oder Oro0lxy, durch die Lücke in Systeme eingedrungen. Altassian habe zwar die Kunden informiert, aber keine spezifischen Details genannt, heisst es von Microsoft.

Seit dem 14. September nutzten die chinesischen Hacker die Lücke bereits aus. Sie konnten also fast 3 Wochen unbehelligt ein- und ausgehen, bis Atlassian ein Securityupdate zur Verfügung stellte. In kompromittierten Confluence-Instanzen haben Angreifer vollen administrativen Zugriff und können eine beliebige Anzahl von Aktionen durchführen. Darunter etwa die Exfiltration von Inhalten und Anmeldeinformationen sowie die Installation von Malware.

Am 4. Oktober hatte Atlassian mitgeteilt, dass man das Problem erkannt habe. Damals hiess es aber noch im Konjunktiv, dass externe Angreifer die Lücken ausgenutzt haben könnten. Für die kritische Lücke mit einem CVSS-Score von vollen 10 Punken (CVE-2023-22515) steht ein Update zur Verfügung, das so rasch wie möglich eingespielt werden sollte. Wer nicht umgehend dazu kommt, sollte Abhilfemassnahmen ergreifen. Diese hat Atlassian auf seiner Website bekannt gegeben, wo auch Schritte für die notwendige Threat detection angegeben sind.