Des acteurs malveillants rapidement repérés une vulnérabilité de sécurité critique récemment exposée affectant Atlassian Confluence Data Center et Confluence Server, lancer des campagnes d’exploitation actives dans les trois jours à peine suivant sa divulgation publique.
Acteurs de menace militant contre CVE-2023-22527
Identifié comme CVE-2023-22527 avec un score CVSS maximum de 10.0, la vulnérabilité constitue une menace sérieuse pour les versions obsolètes du logiciel, offrant aux attaquants non authentifiés la possibilité d'atteindre exécution de code distant sur les installations sensibles.
La faille fait des ravages sur Confluence Data Center et Server 8 versions sorties avant décembre 5, 2023, y compris la version 8.4.5. Alarmant, peu de temps après que la vulnérabilité soit devenue publique, les chercheurs en sécurité ont noté un étonnant 40,000 tentatives d'exploitation ciblant CVE-2023-22527 dans la nature. Ces tentatives, documenté dès janvier 19, originaire de plus 600 adresses IP uniques, tel que rapporté par la Shadowserver Foundation et le rapport DFIR.
La vague d'activité actuelle concerne principalement “tester les tentatives de rappel et 'whoami’ exécution,” indiquant que les acteurs de la menace sont recherche active des serveurs vulnérables, potentiellement préparer une exploitation ultérieure.
Les attaques viennent de Russie?
Une partie importante des adresses IP des attaquants provient de Russie, avec 22,674 instances, suivi de Singapour, Hong Kong, les Etats Unis., Chine, Inde, Brésil, Taiwan, Japon, et l'Équateur.
Le paysage de la cybersécurité a été encore compliqué par la révélation selon laquelle plus de 11,000 Les instances Atlassian sont accessibles sur Internet depuis janvier 21, 2024. Cependant, la mesure dans laquelle ces instances sont vulnérables au CVE-2023-22527 reste incertaine.
Les chercheurs de ProjectDiscovery, Rahul Maini et Harsh Jaiswal, ont fourni une analyse technique de la faille., soulignant son caractère critique. “CVE-2023-22527 est une vulnérabilité critique au sein du serveur Confluence et du centre de données d'Atlassian.,” ils ont déclaré. “Cette vulnérabilité a le potentiel de permettre à des attaquants non authentifiés d'injecter des expressions OGNL dans l'instance Confluence., permettant ainsi l'exécution de code arbitraire et de commandes système.”
L'évolution de la situation révèle l'urgence pour les organisations de mettre à jour et de sécuriser rapidement leurs installations Atlassian Confluence afin d'atténuer le risque posé par cette vulnérabilité de sécurité activement exploitée..