Los investigadores están viendo intentos de explotar una vulnerabilidad crítica en servidores obsoletos de Atlassian Confluence. La falla permite a los atacantes ejecutar código de forma remota, con la mayoría de los intentos desde direcciones IP rusas. Normalmente para vulnerabilidades de ejecución remota de código., este recibió una calificación de alta gravedad según la escala CVSS.
Vulnerabilidad de RCE en Confluence explotada en la naturaleza
Según Shadowserver, un servicio de monitoreo de amenazas, sus sistemas detectaron miles de intentos de explotar CVE-2023-22527, que fue dado una puntuación CVSS máxima de 10. La vulnerabilidad permite a los atacantes lograr una ejecución remota de código. (ICE) en un ataque de baja complejidad sin autenticación. Estos ataques vinieron de más 600 direcciones IP únicas, con más de 39,000 intentos de explotación registrados.
Estamos viendo intentos de RCE de inyección de plantilla de autenticación previa CVE-2023-22527 de Atlassian Confluence desde 2024-01-19. Encima 600 IP vistas atacando hasta ahora (testing callback attempts and 'whoami' ejecución). La vulnerabilidad afecta a las versiones obsoletas de Confluence:https://t.co/HFkPWIzJ1S pic.twitter.com/JPnsf3NFs2
— servidor de sombras (@sombraservidor) Enero 22, 2024
22,674 direcciones IP del atacante están registrados siendo de Rusia. Entre otros lugares populares para los atacantes se encuentra Singapur., Hong Kong, los Estados Unidos., Porcelana, India, Brasil, Taiwán, Japón, y Ecuador. La falla de seguridad afecta a la obsoleta Confluence 8 versiones lanzadas antes de diciembre. 5th, 2023, y confluencia 8.4.5, que ya no recibe correcciones respaldadas. Soporte a largo plazo de Confluence 7.19.x (LT) Las versiones y las instancias de Atlassian Cloud no se ven afectadas..
Detalles de la vulnerabilidad
La vulnerabilidad CVE-2023-22527 implica entrada insegura del usuario incluida en una plantilla diseñada específicamente. usándolo, Los piratas informáticos obtienen la capacidad de ejecutar código arbitrario de forma remota en el servidor que aloja Confluence. sin ninguna autenticación. Los atacantes pueden manipular plantillas para incluir código malicioso, que se ejecuta cuando el servidor procesa.
Además, Explotar con éxito esta vulnerabilidad podría permitir que un adversario provoque la destrucción de datos en la instancia afectada.. La confidencialidad no tiene ningún impacto., ya que un atacante no puede exfiltrar ningún dato de instancia. Sin embargo, el efecto de la explotación incluye obtener control sobre el servidor, acceder a información sensible, interrumpir las operaciones, o lanzar más ataques.
Mitigación y recomendaciones
La empresa abordó la vulnerabilidad. con el lanzamiento de versiones 8.5.4 (LT), 8.6.0 (Solo centro de datos), y 8.7.1 (Solo centro de datos). Atlassian recomienda que los clientes instalen la última versión. Así que, si tiene una versión desactualizada, debes parcharlo inmediatamente. Los desarrolladores insisten sobre parchear cada instalación afectada a la versión más reciente disponible.
Si su organización ejecuta una instancia de Confluence desactualizada, es necesario considerarlo potencialmente comprometido. Se recomienda encarecidamente parchear y revisar minuciosamente los sistemas de inmediato para detectar cualquier signo de explotación.. Los expertos en seguridad también sugieren tomar medidas adicionales como la búsqueda de amenazas., revisión de registros, supervisión, y auditoría de los sistemas afectados.
Además, nosotros recomendamos utilizando soluciones EDR y XDR. Ambos sistemas ofrecen monitoreo en tiempo real., integración de inteligencia de amenazas, respuesta automatizada, y análisis de comportamiento, proporcionando seguridad esencial contra vulnerabilidades.