Atores maliciosos rapidamente aproveitaram uma vulnerabilidade crítica de segurança recentemente exposta afetando o Atlassian Confluence Data Center e o Confluence Server, lançando campanhas de exploração ativas em apenas três dias após sua divulgação pública.
Atores de ameaças armando CVE-2023-22527
Identificado como CVE-2023-22527 com pontuação CVSS máxima de 10.0, a vulnerabilidade representa uma séria ameaça para versões desatualizadas do software, oferecendo aos atacantes não autenticados a capacidade de alcançar execução remota de código em instalações suscetíveis.
A falha afeta o data center e o servidor do Confluence 8 versões lançadas antes de dezembro 5, 2023, incluindo versão 8.4.5. Assustadoramente, logo depois que a vulnerabilidade se tornou de conhecimento público, pesquisadores de segurança notaram um surpreendente 40,000 tentativas de exploração visando CVE-2023-22527 na natureza. Essas tentativas, documentado já em janeiro 19, originado de mais 600 endereços IP exclusivos, conforme relatado pela Shadowserver Foundation e pelo DFIR Report.
A atual onda de atividade envolve principalmente “testando tentativas de retorno de chamada e 'whoami’ execução,” indicando que os atores da ameaça estão verificando ativamente servidores vulneráveis, potencialmente se preparando para exploração subsequente.
Os ataques estão vindo da Rússia?
Uma parte significativa dos endereços IP dos invasores é originária da Rússia, com 22,674 instâncias, seguido por Singapura, Hong Kong, os EUA., China, Índia, Brasil, Taiwan, Japão, e Equador.
O cenário da segurança cibernética ficou ainda mais complicado pela revelação de que sobre 11,000 As instâncias da Atlassian estarão acessíveis pela internet a partir de janeiro 21, 2024. Contudo, a extensão em que essas instâncias são vulneráveis ao CVE-2023-22527 permanece incerta.
Os pesquisadores do ProjectDiscovery Rahul Maini e Harsh Jaiswal forneceram uma análise técnica da falha, enfatizando sua natureza crítica. “CVE-2023-22527 é uma vulnerabilidade crítica no Confluence Server e Data Center da Atlassian,” eles declararam. “Esta vulnerabilidade tem o potencial de permitir que invasores não autenticados injetem expressões OGNL na instância do Confluence, permitindo assim a execução de código arbitrário e comandos do sistema.”
A evolução da situação revela a urgência das organizações atualizarem e protegerem prontamente as suas instalações do Atlassian Confluence para mitigar o risco representado por esta vulnerabilidade de segurança ativamente explorada.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: