Os pesquisadores estão vendo tentativas de explorar uma vulnerabilidade crítica em servidores Atlassian Confluence desatualizados. A falha permite que invasores executem código remotamente, com a maioria das tentativas de endereços IP russos. Normalmente para vulnerabilidades de execução remota de código, este recebeu uma classificação de alta gravidade pela escala CVSS.
Vulnerabilidade RCE no Confluence explorada na natureza
De acordo com Shadowserver, um serviço de monitoramento de ameaças, seus sistemas detectaram milhares de tentativas de exploração do CVE-2023-22527, que foi dado uma pontuação CVSS máxima de 10. A vulnerabilidade permite que invasores consigam uma execução remota de código (RCE) em um ataque de baixa complexidade sem autenticação. Esses ataques vieram de mais 600 endereços IP exclusivos, Com mais 39,000 tentativas de exploração registradas.
Estamos vendo tentativas de RCE de injeção de modelo de pré-autenticação CVE-2023-22527 do Atlassian Confluence desde 2024-01-19. Sobre 600 IPs vistos atacando até agora (testing callback attempts and 'whoami' execução). Vulnerabilidade afeta versões desatualizadas do Confluence:https://t.co/HFkPWIzJ1S pic.twitter.com/JPnsf3NFs2
— Servidor Shadow (@Shadowserver) Janeiro 22, 2024
22,674 endereços IP do invasor são registrados sendo da Rússia. Entre outros locais populares para os atacantes estão Singapura, Hong Kong, os EUA., China, Índia, Brasil, Taiwan, Japão, e Equador. A falha de segurança afeta o Confluence desatualizado 8 versões lançadas antes de dezembro. 5º, 2023, e Confluência 8.4.5, que não recebe mais correções backportadas. Suporte de longo prazo do Confluence 7.19.x (LTS) versões e instâncias do Atlassian Cloud não são afetadas.
Detalhes da vulnerabilidade
A vulnerabilidade CVE-2023-22527 envolve entrada de usuário insegura incluída em um modelo especificamente criado. Usando isso, hackers ganham a capacidade de executar código arbitrário remotamente no servidor que hospeda o Confluence sem qualquer autenticação. Os invasores podem manipular modelos para incluir código malicioso, que é executado quando o servidor processa.
Além disso, explorar com sucesso esta vulnerabilidade pode permitir que um adversário cause a destruição de dados na instância afetada. A confidencialidade não tem impacto, já que um invasor não pode exfiltrar nenhum dado da instância. No entanto, o efeito da exploração inclui obter controle sobre o servidor, acessando informações confidenciais, interromper operações, ou lançar novos ataques.
Mitigação e recomendações
A empresa abordou a vulnerabilidade com o lançamento de versões 8.5.4 (LTS), 8.6.0 (Somente data center), e 8.7.1 (Somente data center). A Atlassian recomenda que os clientes instalem a versão mais recente. Então, se você estiver em uma versão desatualizada, você deve corrigi-lo imediatamente. Os desenvolvedores insistem em corrigir cada instalação afetada para a versão mais recente disponível.
Se sua organização estiver executando uma instância desatualizada do Confluence, é necessário considerá-lo potencialmente comprometido. É altamente recomendável corrigir imediatamente e revisar completamente os sistemas para detectar quaisquer sinais de exploração. Especialistas em segurança também sugerem tomar medidas adicionais, como caça a ameaças, revisão de registro, monitoramento, e auditoria dos sistemas afetados.
Além disso, nós recomendamos usando soluções EDR e XDR. Ambos os sistemas oferecem monitoramento em tempo real, integração de inteligência contra ameaças, resposta automática, e análise comportamental, fornecendo segurança essencial contra vulnerabilidades.
