Hackers começam a explorar falha crítica de RCE na Atlassian Confluence
23 de Janeiro de 2024

Pesquisadores de segurança estão observando tentativas de exploração para a falha de vulnerabilidade de execução de código remoto CVE-2023-22527 que afeta versões desatualizadas dos servidores Atlassian Confluence.

A Atlassian divulgou o problema de segurança na semana passada e observou que ele impacta apenas as versões do Confluence lançadas antes de 5 de dezembro de 2023, junto com alguns lançamentos fora de suporte.

A falha tem uma pontuação de severidade crítica e é descrita como uma fraqueza de injeção de template que permite a executores remotos não autenticados executar código em endpoints vulneráveis do Confluence Data Center e do Confluence Server, versões 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x e 8.5.0 até 8.5.3.

Uma correção está disponível para as versões 8.5.4 (LTS), 8.6.0 (somente Data Center) e 8.7.1 (somente Data Center) e versões posteriores do Confluence Data Center e do Server.

O serviço de monitoramento de ameaças Shadowserver informa hoje que seus sistemas registraram milhares de tentativas de explorar o CVE-2023-22527 , os ataques vindo de pouco mais de 600 endereços IP únicos.

O serviço diz que os invasores estão testando callbacks executando o comando 'whoami' para coletar informações sobre o nível de acesso e privilégios no sistema.

O número total de tentativas de exploração registradas pela The Shadowserver Foundation é superior a 39.000, a maioria dos ataques vindo de endereços IP russos.

O Shadowserver relata que seus scanners atualmente detectam 11.100 instâncias Atlassian Confluence acessíveis pela internet pública.

No entanto, nem todas necessariamente executam uma versão vulnerável.

As vulnerabilidades do Atlassian Confluence são ativos frequentemente explorados por vários tipos de invasores, incluindo atores de ameaças patrocinados pelo estado e grupos oportunistas de ransomware.

Em relação ao CVE-2023-22527 , a Atlassian disse anteriormente que não era capaz de fornecer indicadores específicos de comprometimento (IoCs) que ajudariam na detecção de casos de exploração.

Os administradores do servidor Confluence devem garantir que os endpoints que gerenciam foram atualizados pelo menos para uma versão lançada após 5 de dezembro de 2023.

Para organizações com instâncias desatualizadas do Confluence, o conselho é tratá-las como potencialmente comprometidas, procurar sinais de exploração, realizar uma limpeza completa e atualizar para uma versão segura.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...