A Atlassian corrige falha crítica do Confluence zero-day explorada em ataques
5 de Outubro de 2023

A empresa australiana de software Atlassian lançou atualizações de segurança emergenciais para corrigir uma vulnerabilidade zero-day de máxima gravidade em seu software Confluence Data Center e Server, que foi explorado em ataques.

"A Atlassian foi informada de um problema relatado por um punhado de clientes em que invasores externos podem ter explorado uma vulnerabilidade anteriormente desconhecida em instâncias publicamente acessíveis do Confluence Data Center e Server para criar contas de administrador não autorizadas no Confluence e acessar instâncias do Confluence", disse a empresa.

"Os sites do Atlassian Cloud não são afetados por essa vulnerabilidade.

Se o seu site Confluence é acessado via um domínio atlassian.net, ele é hospedado por Atlassian e não está vulnerável a este problema."

Rastreado como CVE-2023-22515 , essa falha crítica de escalonamento de privilégios afeta o Confluence Data Center e Server 8.0.0 e versões posteriores e é descrita como sendo explorável remotamente em ataques de baixa complexidade que não requerem interação do usuário.

Clientes que usam versões vulneráveis do Confluence Data Center e Server são aconselhados a atualizar suas instâncias o mais rápido possível para uma das versões fixas (ou seja, 8.3.3 ou posterior, 8.4.3 ou posterior, 8.5.2 ou posterior).

Além de atualizar e aplicar medidas de mitigação, a Atlassian também pede aos clientes que desliguem as instâncias afetadas ou isolem-nas do acesso à Internet se a correção imediata não for possível.

Os administradores podem remover vetores de ataque conhecidos associados a essa vulnerabilidade impedindo o acesso aos endpoints /setup/* nas instâncias do Confluence.

"Instâncias na internet pública correm um risco especial, pois essa vulnerabilidade é explorável anonimamente", acrescentou a Atlassian.

A empresa também recomenda verificar todas as instâncias do Confluence para indicadores de compromisso, incluindo:

membros inesperados do grupo confluence-administrator
novas contas de usuário criadas inesperadamente
pedidos para /setup/*.action em logs de acesso à rede
presença de /setup/setupadministrator.action em uma mensagem de exceção em atlassian-confluence-security.log no diretório principal do Confluence

Com o lançamento de uma correção, há uma possibilidade aumentada de que os atores de ameaças façam a diferença binária nos patches de segurança lançados para descobrir a fraqueza corrigida, acelerando potencialmente a criação de um exploit utilizável.

Assegurar imediatamente os servidores Confluence é extremamente importante, considerando sua atratividade passada para atores maliciosos, com incidentes anteriores envolvendo AvosLocker e Cerber2021 ransomware, malware botnet Linux e mineradores de criptomoedas sublinhando a urgência da questão.

No ano passado, a CISA ordenou que agências federais corrigissem outra vulnerabilidade crítica do Confluence ( CVE-2022-26138 ) explorada na natureza, com base em alertas anteriores da empresa de segurança cibernética Rapid7 e da empresa de inteligência de ameaças GreyNoise.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...