7 nov 2023

Vulnerabilidad crítica en en Atlassian Confluence aprovechada por ransomware (CVE-2023-22518)

Todas las versiones de Atlassian Confluence Data Center y Server se ven afectadas por una vulnerabilidad crítica (CVSS 9,1/10) de escalamiento de privilegios que no necesita autenticación previa. Las instancias en la nube no se ven afectadas. Atlassian, una empresa australiana, desarrolla herramientas para el desarrollo y la colaboración de software.

Revelada por primera vez el 31 de octubre, la vulnerabilidad identificada como CVE-2023-22518, en Atlassian Confluence se observó bajo explotación activa el 3 de noviembre. En su aviso, Atlassian dice que han encontrado ransomware activo y ataques y exploits relacionados a esta vulnerabilidad y por eso recomienda actualizar de inmediato.

Es posible encontrar servidores relacionados con los siguientes dorks:

  • FOFA: product="ATLASSIAN-Confluence"
  • SHODAN: http.component:"Atlassian Confluence"
  • NETLAS.IO: http.meta:"confluence-base-url"

"Esta vulnerabilidad de autorización inadecuada permite a un atacante no autenticado restablecer Confluence y crear una cuenta de administrador de instancia de Confluence", agrega el aviso. "Al utilizar esta cuenta, un atacante puede realizar todas las acciones administrativas que están disponibles para el administrador de la instancia de Confluence, lo que lleva a una pérdida total de confidencialidad, integridad y disponibilidad".

Los investigadores de Rapid7 también emitieron una advertencia sobre ataques. A partir del 5 de noviembre de 2023, Rapid7 ha observando la explotación de Atlassian Confluence en múltiples entornos de clientes, incluso para la implementación de ransomware.

Atlassian advierte a los equipos de seguridad que busquen lo siguiente:

  • pérdida de inicio de sesión o acceso
  • solicitudes a /json/setup-restore* en los registros de acceso a la red
  • instalación de complementos desconocidos, con informes observados de un complemento llamado "web.shell.Plugin"
  • archivos cifrados o datos corruptos
  • miembros inesperados del grupo de administradores de Confluence
  • cuentas de usuario inesperadas recién creadas

Se debe actualizar a las siguientes versiones: 7.19.16. 8.3.4, 8.4.4, 8.5.3, 8.6.1

Fuente: DarkReading

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!