A empresa australiana de software Atlassian lançou atualizações de segurança emergenciais para corrigir uma vulnerabilidade zero-day de máxima gravidade em seu software Confluence Data Center e Server, que foi explorado em ataques.
"A Atlassian foi informada de um problema relatado por um punhado de clientes em que invasores externos podem ter explorado uma vulnerabilidade anteriormente desconhecida em instâncias publicamente acessíveis do Confluence Data Center e Server para criar contas de administrador não autorizadas no Confluence e acessar instâncias do Confluence", disse a empresa.
"Os sites do Atlassian Cloud não são afetados por essa vulnerabilidade.
Se o seu site Confluence é acessado via um domínio atlassian.net, ele é hospedado por Atlassian e não está vulnerável a este problema."
Rastreado como
CVE-2023-22515
, essa falha crítica de escalonamento de privilégios afeta o Confluence Data Center e Server 8.0.0 e versões posteriores e é descrita como sendo explorável remotamente em ataques de baixa complexidade que não requerem interação do usuário.
Clientes que usam versões vulneráveis do Confluence Data Center e Server são aconselhados a atualizar suas instâncias o mais rápido possível para uma das versões fixas (ou seja, 8.3.3 ou posterior, 8.4.3 ou posterior, 8.5.2 ou posterior).
Além de atualizar e aplicar medidas de mitigação, a Atlassian também pede aos clientes que desliguem as instâncias afetadas ou isolem-nas do acesso à Internet se a correção imediata não for possível.
Os administradores podem remover vetores de ataque conhecidos associados a essa vulnerabilidade impedindo o acesso aos endpoints /setup/* nas instâncias do Confluence.
"Instâncias na internet pública correm um risco especial, pois essa vulnerabilidade é explorável anonimamente", acrescentou a Atlassian.
A empresa também recomenda verificar todas as instâncias do Confluence para indicadores de compromisso, incluindo:
membros inesperados do grupo confluence-administrator
novas contas de usuário criadas inesperadamente
pedidos para /setup/*.action em logs de acesso à rede
presença de /setup/setupadministrator.action em uma mensagem de exceção em atlassian-confluence-security.log no diretório principal do Confluence
Com o lançamento de uma correção, há uma possibilidade aumentada de que os atores de ameaças façam a diferença binária nos patches de segurança lançados para descobrir a fraqueza corrigida, acelerando potencialmente a criação de um exploit utilizável.
Assegurar imediatamente os servidores Confluence é extremamente importante, considerando sua atratividade passada para atores maliciosos, com incidentes anteriores envolvendo AvosLocker e Cerber2021 ransomware, malware botnet Linux e mineradores de criptomoedas sublinhando a urgência da questão.
No ano passado, a CISA ordenou que agências federais corrigissem outra vulnerabilidade crítica do Confluence (
CVE-2022-26138
) explorada na natureza, com base em alertas anteriores da empresa de segurança cibernética Rapid7 e da empresa de inteligência de ameaças GreyNoise.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...