Pesquisadores de segurança estão observando tentativas de exploração para a falha de vulnerabilidade de execução de código remoto
CVE-2023-22527
que afeta versões desatualizadas dos servidores Atlassian Confluence.
A Atlassian divulgou o problema de segurança na semana passada e observou que ele impacta apenas as versões do Confluence lançadas antes de 5 de dezembro de 2023, junto com alguns lançamentos fora de suporte.
A falha tem uma pontuação de severidade crítica e é descrita como uma fraqueza de injeção de template que permite a executores remotos não autenticados executar código em endpoints vulneráveis do Confluence Data Center e do Confluence Server, versões 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x e 8.5.0 até 8.5.3.
Uma correção está disponível para as versões 8.5.4 (LTS), 8.6.0 (somente Data Center) e 8.7.1 (somente Data Center) e versões posteriores do Confluence Data Center e do Server.
O serviço de monitoramento de ameaças Shadowserver informa hoje que seus sistemas registraram milhares de tentativas de explorar o
CVE-2023-22527
, os ataques vindo de pouco mais de 600 endereços IP únicos.
O serviço diz que os invasores estão testando callbacks executando o comando 'whoami' para coletar informações sobre o nível de acesso e privilégios no sistema.
O número total de tentativas de exploração registradas pela The Shadowserver Foundation é superior a 39.000, a maioria dos ataques vindo de endereços IP russos.
O Shadowserver relata que seus scanners atualmente detectam 11.100 instâncias Atlassian Confluence acessíveis pela internet pública.
No entanto, nem todas necessariamente executam uma versão vulnerável.
As vulnerabilidades do Atlassian Confluence são ativos frequentemente explorados por vários tipos de invasores, incluindo atores de ameaças patrocinados pelo estado e grupos oportunistas de ransomware.
Em relação ao
CVE-2023-22527
, a Atlassian disse anteriormente que não era capaz de fornecer indicadores específicos de comprometimento (IoCs) que ajudariam na detecção de casos de exploração.
Os administradores do servidor Confluence devem garantir que os endpoints que gerenciam foram atualizados pelo menos para uma versão lançada após 5 de dezembro de 2023.
Para organizações com instâncias desatualizadas do Confluence, o conselho é tratá-las como potencialmente comprometidas, procurar sinais de exploração, realizar uma limpeza completa e atualizar para uma versão segura.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...