Los actores maliciosos rápidamente se apoderaron de ellos una vulnerabilidad de seguridad crítica expuesta recientemente que afecta al centro de datos Atlassian Confluence y al servidor Confluence, lanzar campañas activas de explotación apenas tres días después de su divulgación pública.
Actores de amenazas que utilizan CVE-2023-22527 como arma
Identificado como CVE-2023-22527 con una puntuación CVSS máxima de 10.0, la vulnerabilidad representa una seria amenaza para las versiones desactualizadas del software, ofreciendo a atacantes no autenticados la capacidad de lograr ejecución remota de código en instalaciones susceptibles.
La falla pasa factura al servidor y al centro de datos de Confluence 8 Versiones lanzadas antes de diciembre. 5, 2023, incluyendo la versión 8.4.5. alarmantemente, poco después de que la vulnerabilidad se hiciera pública, Los investigadores de seguridad notaron un sorprendente 40,000 Intentos de explotación dirigidos a CVE-2023-22527 en estado salvaje.. Estos intentos, documentado ya en enero 19, se originó desde más 600 direcciones IP únicas, según lo informado tanto por la Fundación Shadowserver como por el Informe DFIR.
La actual ola de actividad implica principalmente “probando intentos de devolución de llamada y 'whoami'’ ejecución,” indicando que los actores de amenazas son escanear activamente en busca de servidores vulnerables, potencialmente preparándose para una explotación posterior.
Los ataques provienen de Rusia?
Una parte importante de las direcciones IP de los atacantes proceden de Rusia., con 22,674 instancias, seguido por Singapur, Hong Kong, los Estados Unidos., China, India, Brasil, Taiwán, Japón, y Ecuador.
El panorama de la ciberseguridad se ha complicado aún más por la revelación de que por encima 11,000 Las instancias de Atlassian están disponibles a través de Internet a partir de enero. 21, 2024. Sin embargo, el grado en que estas instancias son vulnerables a CVE-2023-22527 sigue siendo incierto.
Los investigadores de ProjectDiscovery Rahul Maini y Harsh Jaiswal proporcionaron un análisis técnico de la falla., enfatizando su carácter crítico. “CVE-2023-22527 es una vulnerabilidad crítica dentro del servidor y centro de datos Confluence de Atlassian,” ellos declararon. “Esta vulnerabilidad tiene el potencial de permitir que atacantes no autenticados inyecten expresiones OGNL en la instancia de Confluence., permitiendo así la ejecución de código arbitrario y comandos del sistema.”
La evolución de la situación revela la urgencia de que las organizaciones actualicen y protejan rápidamente sus instalaciones de Atlassian Confluence para mitigar el riesgo que plantea esta vulnerabilidad de seguridad explotada activamente..