Una recente vulnerabilità, CVE-2023-22518, nel Data Center e nel Server di Atlassian Confluence, è stata attivamente sfruttata, come riportato dalla società di intelligence sulle minacce GreyNoise. Questo grave difetto di sicurezza, con un punteggio CVSS di 9.1, è stato corretto appena una settimana fa. È classificato come un difetto di autorizzazione impropria e colpisce tutte le versioni di Confluence. Atlassian, il produttore del software, ha emesso un secondo avviso meno di cinque giorni dopo il rilascio della patch, avvertendo che informazioni critiche sulla vulnerabilità erano state divulgate pubblicamente, aumentando notevolmente il rischio di sfruttamento.
Lo stesso giorno di questo nuovo allarme, ProjectDiscovery ha pubblicato informazioni tecniche e potenziali metodi di sfruttamento per la falla. Venerdì, Atlassian ha aggiornato il suo avviso per confermare lo sfruttamento attivo e ha esortato i clienti a prendere misure immediate per proteggere le loro istanze, eccetto coloro che avevano già applicato la patch.
I scanner di GreyNoise hanno rilevato nel fine settimana tentativi di sfruttamento in-the-wild mirati a organizzazioni negli Stati Uniti, Taiwan, Ucraina, Georgia, Lettonia e Moldavia. Questi attacchi provenivano da tre diversi indirizzi IP.
Sebbene la vulnerabilità non possa essere utilizzata per esfiltrare dati dai server Confluence vulnerabili, può sostituire lo stato dell’istanza con dati forniti dall’attaccante senza autenticazione.
Rapid7 ha osservato anche numerosi tentativi di sfruttare i server Confluence accessibili via web, mirando sia a CVE-2023-22518 che a CVE-2023-22515, una vulnerabilità zero-day critica di Confluence divulgata in precedenza. I modelli di attacco suggeriscono un possibile sfruttamento di massa di server Atlassian Confluence vulnerabili e accessibili da internet.
Per mitigare questo rischio, si consiglia vivamente agli utenti di aggiornare le loro istanze alle versioni di Confluence Data Center e Server 7.19.16, 8.3.4, 8.4.4, 8.5.3 o 8.6.1. Se gli aggiornamenti immediati non sono fattibili, si raccomanda di creare backup e bloccare l’accesso a Internet alle istanze vulnerabili. Rimani vigile e agisci prontamente per salvaguardare i tuoi sistemi.
Source: SecurityWeek
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.