Pesquisadores de segurança alertam que operadores de ameaças já estão explorando uma vulnerabilidade crítica no Confluence Data Center e Server da Atlassian, para a qual um exploit público foi encontrado na semana passada para distribuir o ransomware Cerber.
A desenvolvedora de software australiana disse na quinta-feira passada, 2, que descobriu “informações críticas publicadas publicamente” sobre o CVE-2023-22518, que tem escore de 9.1 no sistema de pontuação comum de vulnerabilidades (CVSS), e emitiu patches em 31 de outubro.
Embora não houvesse relatos de que a falha estava sendo explorada em outubro, o diretor de segurança da informação da Atlassian, Bala Sathiamurthy, alertou que os clientes que não tomassem medidas para proteger suas instâncias poderiam ficar “vulneráveis a perdas significativas de dados” se as explorações ocorressem.
No fim de semana, a empresa Rapid7 disse ter observado a exploração da vulnerabilidade em “vários ambientes de clientes”, bem como ataques usando uma falha mais antiga (CVE-2023-22515), que é um bug crítico de controle de acesso quebrado descoberto em 4 de outubro.
A fornecedora de soluções de cibersegurança explicou que a cadeia de execução do processo era consistente em vários ambientes, sugerindo a exploração em massa de servidores Atlassian Confluence vulneráveis voltados para a internet.
“Após a atividade de enumeração inicial, o adversário executou comandos Base64 para gerar comandos subsequentes via python2 ou python3”, acrescentou em uma postagem no blog. “Em várias cadeias de ataque, o Rapid7 observou a execução de comandos pós-exploração para baixar uma carga maliciosa hospedada em 193.43.72[.] 11 e/ou 193.176.179[.] 41, que, se bem-sucedido, levou à implantação do ransomware Cerber de sistema único no servidor Confluence explorado.”
Veja isso
Atlassian corrige falhas com CVSS de graus 9 e 10
Atlassian corrige bug crítico no Jira Service Management Server
A Rapid7 ecoou o conselho da Atlassian de que os usuários do Confluence devem atualizar para uma versão fixa do produto “em caráter emergencial” e restringir o acesso externo ao aplicativo pelo menos até que possam corrigir.
Em uma atualização nesta segunda-feira, 6, de seu comunicado de segurança sobre a vulnerabilidade, a Atlassian disse que, à luz dos ataques observados e dos relatos de agentes de ameaças usando ransomware, “escalou o CVE-2023-22518 de CVSS 9.1 para 10, a classificação crítica mais alta, devido à mudança no escopo do ataque”.
A empresa disse que todas as versões do Confluence Server e Data Center estão em risco devido à vulnerabilidade, que pode ser corrigida migrando para uma das versões fixas: 7.19.16, 8.3.4, 8.4.4, 8.5.3 ou 8.6.1.
Para ter acesso ao relatório da Rapid7, em inglês, clique aqui.
