Gli attori dannosi sono stati rapidamente sequestrati una vulnerabilità critica della sicurezza recentemente esposta che interessano Atlassian Confluence Data Center e Confluence Server, lanciando campagne di sfruttamento attive entro soli tre giorni dalla sua divulgazione pubblica.
Attori di minacce che utilizzano come armi CVE-2023-22527
Identificato come CVE-2023-22527 con un punteggio CVSS massimo di 10.0, la vulnerabilità rappresenta una seria minaccia per le versioni obsolete del software, offrendo agli aggressori non autenticati la possibilità di raggiungere esecuzione di codice remoto sugli impianti sensibili.
Il difetto mette a dura prova Confluence Data Center e Server 8 versioni rilasciate prima di dicembre 5, 2023, versione inclusa 8.4.5. allarmante, poco dopo che la vulnerabilità divenne di dominio pubblico, i ricercatori sulla sicurezza hanno notato un fatto sorprendente 40,000 tentativi di sfruttamento contro CVE-2023-22527 in natura. Questi tentativi, documentato già a gennaio 19, ha avuto origine da oltre 600 indirizzi IP univoci, come riportato sia dalla Shadowserver Foundation che dal DFIR Report.
L’attuale ondata di attività coinvolge principalmente “testare i tentativi di richiamata e' whoami’ esecuzione,” indicando che gli attori della minaccia lo sono scansionando attivamente i server vulnerabili, potenzialmente preparandosi per il successivo sfruttamento.
Gli attacchi arrivano dalla Russia?
Una parte significativa degli indirizzi IP degli aggressori proviene dalla Russia, con 22,674 casi, seguito da Singapore, Hong Kong, gli Stati Uniti., Porcellana, India, Brasile, Taiwan, Giappone, ed Ecuador.
Il panorama della sicurezza informatica è stato ulteriormente complicato dalla rivelazione che sopra 11,000 Le istanze Atlassian sono accessibili su Internet a partire da gennaio 21, 2024. Tuttavia, la misura in cui queste istanze sono vulnerabili a CVE-2023-22527 rimane incerta.
I ricercatori di ProjectDiscovery Rahul Maini e Harsh Jaiswal hanno fornito un'analisi tecnica del difetto, sottolineandone la natura critica. “CVE-2023-22527 è una vulnerabilità critica nel Confluence Server e nel Data Center di Atlassian,” hanno affermato. “Questa vulnerabilità può consentire ad aggressori non autenticati di inserire espressioni OGNL nell'istanza Confluence, consentendo così l'esecuzione di codici arbitrari e comandi di sistema.”
La situazione in evoluzione rivela l’urgenza per le organizzazioni di aggiornare e proteggere tempestivamente le proprie installazioni Atlassian Confluence per mitigare il rischio rappresentato da questa vulnerabilità della sicurezza sfruttata attivamente.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: