Una vulnerabilitat recent, CVE-2023-22518, en Atlassian Confluence Data Center i Confluence Server, ha estat activament explotada, segons informa l’empresa d’intel·ligència de ciberamenaces GreyNoise. Aquest greu error de seguretat, amb una puntuació CVSS de 9.1, va ser solucionat fa només una setmana. Es classifica com a un error d’autorització inadequada i afecta totes les versions de Confluence. Atlassian, el fabricant del programari, va emetre una segona advertència menys de cinc dies després de llançar el pegat, alertant que informació crítica sobre la vulnerabilitat havia estat divulgada públicament, augmentant significativament el risc d’explotació.
El mateix dia d’aquesta nova alerta, ProjectDiscovery va publicar informació tècnica i possibles mètodes d’explotació per a l’error. Divendres, Atlassian va actualitzar el seu avís per confirmar l’explotació activa i va instar els clients a prendre mesures immediates per protegir les seves instàncies, excepte aquells que ja haguessin aplicat el pegat.
Els escàners de GreyNoise van detectar intents d’explotació en el món real dirigits a organitzacions als Estats Units, Taiwan, Ucraïna, Geòrgia, Letònia i Moldàvia durant el cap de setmana. Aquests atacs provenien de tres adreces IP diferents.
Tot i que la vulnerabilitat no es pot utilitzar per exfiltrar dades de servidors Confluence vulnerables, pot reemplaçar l’estat de la instància amb dades subministrades per l’atacant sense autenticació.
Rapid7 també va observar diversos intents d’explotar servidors Confluence accessibles per la web, dirigint-se tant a CVE-2023-22518 com a CVE-2023-22515, una vulnerabilitat zero-day crítica de Confluence divulgada anteriorment. Els patrons d’atac suggereixen una possible explotació massiva de servidors Atlassian Confluence vulnerables i accessibles a Internet.
Per mitigar aquest risc, s’aconsella encaridament als usuaris que actualitzin les seves instàncies a les versions 7.19.16, 8.3.4, 8.4.4, 8.5.3 o 8.6.1 de Confluence Data Center i Server. Si les actualitzacions immediates no són factibles, es recomana crear còpies de seguretat i bloquejar l’accés a Internet a les instàncies vulnerables. Mantingues alerta i actua amb rapidesa per protegir els teus sistemes.
Source: SecurityWeek
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.