Una vulnerabilidad reciente, CVE-2023-22518, en Atlassian Confluence Data Center y Confluence Server ha sido activamente explotada, según informa la empresa de inteligencia de amenazas GreyNoise. Este grave fallo de seguridad, con una puntuación CVSS de 9.1, fue parcheado hace apenas una semana. Se clasifica como un fallo de autorización impropia y afecta a todas las versiones de Confluence. Atlassian, el fabricante del software, emitió una segunda advertencia menos de cinco días después de lanzar el parche, advirtiendo que información crítica sobre la vulnerabilidad se había divulgado públicamente, aumentando significativamente el riesgo de explotación.
El mismo día de esta nueva alerta, ProjectDiscovery publicó información técnica y posibles métodos de explotación para la falla. El viernes, Atlassian actualizó su aviso para confirmar la explotación activa e instó a los clientes a tomar medidas inmediatas para proteger sus instancias, excepto aquellos que ya habían aplicado el parche.
Los escáneres de GreyNoise detectaron intentos de explotación en la naturaleza dirigidos a organizaciones en los EE. UU., Taiwán, Ucrania, Georgia, Letonia y Moldavia durante el fin de semana. Estos ataques se originaron en tres direcciones IP diferentes.
Aunque la vulnerabilidad no puede ser utilizada para exfiltrar datos de servidores Confluence vulnerables, puede reemplazar el estado de la instancia con datos suministrados por el atacante sin autenticación.
Rapid7 también observó múltiples intentos de explotar servidores Confluence accesibles a través de la web, apuntando tanto a CVE-2023-22518 como a CVE-2023-22515, una vulnerabilidad zero-day crítica de Confluence revelada anteriormente. Los patrones de ataque sugieren una posible explotación masiva de servidores Atlassian Confluence vulnerables y accesibles a internet.
Para mitigar este riesgo, se aconseja encarecidamente a los usuarios que actualicen sus instancias a las versiones 7.19.16, 8.3.4, 8.4.4, 8.5.3 o 8.6.1 de Confluence Data Center y Server. Si las actualizaciones inmediatas no son factibles, se recomienda crear respaldos y bloquear el acceso a internet a las instancias vulnerables. Mantente alerta y actúa con prontitud para proteger tus sistemas.
Source: SecurityWeek
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.