Một lỗ hổng gần đây, CVE-2023-22518, trong Atlassian Confluence Data Center và Confluence Server đã bị khai thác tích cực, theo báo cáo của công ty phân tích an ninh mạng GreyNoise. Lỗ hổng bảo mật nghiêm trọng này, với điểm CVSS là 9.1, đã được vá chỉ cách đây một tuần. Nó được phân loại là lỗi ủy quyền không đúng cách và ảnh hưởng đến tất cả các phiên bản Confluence. Atlassian, nhà sản xuất phần mềm, đã phát đi cảnh báo thứ hai chưa đầy năm ngày sau khi phát hành bản vá, cảnh báo rằng thông tin quan trọng về lỗ hổng đã được công bố công khai, làm tăng đáng kể nguy cơ bị khai thác.
Cùng ngày với cảnh báo này, ProjectDiscovery đã công bố thông tin kỹ thuật và phương pháp khai thác tiềm năng cho lỗ hổng. Vào thứ Sáu, Atlassian đã cập nhật cảnh báo của mình để xác nhận việc khai thác đang diễn ra và kêu gọi khách hàng hành động ngay lập tức để bảo vệ các hệ thống của họ, trừ những người đã áp dụng bản vá.
Các máy quét của GreyNoise đã phát hiện các nỗ lực khai thác trong môi trường thực tại các tổ chức ở Hoa Kỳ, Đài Loan, Ukraina, Gruzia, Latvia và Moldova vào cuối tuần. Những cuộc tấn công này xuất phát từ ba địa chỉ IP khác nhau.
Mặc dù lỗ hổng không thể được sử dụng để lấy cắp dữ liệu từ các máy chủ Confluence dễ bị tổn thương, nhưng nó có thể thay thế trạng thái của hệ thống bằng dữ liệu do kẻ tấn công cung cấp mà không cần xác thực.
Rapid7 cũng quan sát thấy nhiều nỗ lực khai thác các máy chủ Confluence có thể truy cập qua web, nhắm vào cả CVE-2023-22518 và CVE-2023-22515, lỗ hổng Confluence zero-day quan trọng được tiết lộ trước đó. Các mô hình tấn công cho thấy khả năng khai thác hàng loạt các máy chủ Atlassian Confluence dễ bị tổn thương trên mạng.
Để giảm thiểu rủi ro này, người dùng được khuyến nghị mạnh mẽ cập nhật các hệ thống của họ lên các phiên bản Confluence Data Center và Server 7.19.16, 8.3.4, 8.4.4, 8.5.3, hoặc 8.6.1. Nếu không thể cập nhật ngay lập tức, việc tạo bản sao lưu và chặn truy cập internet đối với các hệ thống dễ bị tổn thương được khuyến nghị. Hãy luôn cảnh giác và hành động nhanh chóng để bảo vệ hệ thống của bạn.
Source: SecurityWeek
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.