A Microsoft Adverte sobre Hackers Patrocinados por Estados Explorando Vulnerabilidade Crítica do Atlassian Confluence
11 de Outubro de 2023

A Microsoft relacionou a exploração de uma falha crítica recentemente divulgada no Atlassian Confluence Data Center e Server a um agente de um estado-nação que ela rastreia como Storm-0062 (também conhecido como DarkShadow ou Oro0lxy).

A equipe de inteligência de ameaças da gigante da tecnologia disse que observou o abuso da vulnerabilidade em situações reais desde 14 de setembro de 2023.

"O CVE-2023-22515 é uma vulnerabilidade crítica de escalonamento de privilégios no Atlassian Confluence Data Center e Server", observou a empresa em uma série de posts no X (anteriormente Twitter).

"Qualquer dispositivo com uma conexão de rede para uma aplicação vulnerável pode explorar o CVE-2023-22515 para criar uma conta de administrador do Confluence dentro do aplicativo."

CVE-2023-22515 , classificado como 10.0 no sistema de classificação de gravidade do CVSS, permite que atacantes remotos criem contas de administrador do Confluence não autorizadas e acessem servidores Confluence.

A falha foi corrigida nas seguintes versões -

8.3.3 ou posterior
8.4.3 ou posterior, e
8.5.2 (versão de suporte de longo prazo) ou posterior

Embora a escala exata dos ataques não esteja clara, a Atlassian disse que foi informada sobre o problema por "um punhado de clientes", o que significa que ele havia sido explorado como um zero-day pelo ator da ameaça.

Vale a pena notar que Oro0lxy se refere a um pseudônimo digital criado por Li Xiaoyu, um hacker chinês que foi acusado pelo Departamento de Justiça dos EUA (DoJ) em julho de 2020 de infiltrar "centenas de empresas" nos EUA, Hong Kong e China, incluindo a desenvolvedora de pesquisa de vacinas contra o coronavírus Moderna.

Afirma-se que Xiaoyu foi designado para a divisão regional de Guangdong do Ministério da Segurança do Estado (MSS).

"Os réus, em alguns casos, agiram para seu próprio ganho financeiro pessoal e, em outros, em benefício do MSS ou outras agências governamentais chinesas", disse o DoJ.

"Os hackers roubaram terabytes de dados, que constituem uma ameaça sofisticada e prolífica às redes dos EUA."

As organizações que dependem de aplicações Confluence são altamente recomendadas a atualizar para as últimas versões para mitigar possíveis ameaças e também isolá-los da internet pública até que as correções sejam implementadas.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...