La compañía australiana de software Atlassian lanzó actualizaciones de seguridad de emergencia para corregir una vulnerabilidad de día cero de máxima gravedad en su software Confluence Data Center and Server, que ha sido explotada en ataques.
«Atlassian ha sido informada de un problema reportado por un puñado de clientes en el que los atacantes externos pueden haber explotado una vulnerabilidad previamente desconocida en instancias de Confluence Data Center y Server de acceso público para crear cuentas de administrador de Confluence no autorizadas y acceder a instancias de Confluence», dijo la compañía.
«Los sitios de Atlassian Cloud no se ven afectados por esta vulnerabilidad. Si se accede a tu sitio de Confluence a través de un dominio, está alojado en Atlassian y no es vulnerable a este problema».
Rastreado como CVE-2023-22515, este error crítico de escalada de privilegios afecta a Confluence Data Center y Server 8.0.0 y versiones posteriores y se describe como explotable de forma remota en ataques de baja complejidad que no requieren la interacción del usuario.
Se recomienda a los clientes que utilicen versiones vulnerables de Confluence Data Center y Server que actualicen sus instancias lo antes posible a una de las versiones corregidas (es decir, 8.3.3 o posterior, 8.4.3 o posterior, 8.5.2 o posterior).
Además de actualizar y aplicar medidas de mitigación, Atlassian también insta a los clientes a cerrar las instancias afectadas o aislarlas del acceso a Internet si no es posible aplicar parches inmediatos.
Los administradores pueden eliminar los vectores de ataque conocidos asociados a esta vulnerabilidad impidiendo el acceso a los puntos de enlace /setup/* en las instancias de Confluence.
«Las instancias en la Internet pública están particularmente en riesgo, ya que esta vulnerabilidad se puede explotar de forma anónima», agregó Atlassian.
Se aconseja a los administradores que comprueben si hay señales de infracción
La compañía también recomienda verificar todas las instancias de Confluence en busca de indicadores de compromiso, que incluyen:
- Miembros inesperados del grupo Confluence-Administrator
- Cuentas de usuario inesperadas recién creadas
- solicitudes a /setup/*.action en los registros de acceso a la red
- presencia de /setup/setupadministrator.action en un mensaje de excepción en atlassian-confluence-security.log en el directorio principal de Confluence
Con el lanzamiento de un parche, existe una mayor posibilidad de que los actores de amenazas hagan bin-diff de los parches de seguridad lanzados para descubrir la debilidad parcheada, lo que podría acelerar la creación de un exploit utilizable.
«Si se determina que su instancia de Confluence Server/DC se ha visto comprometida, nuestro consejo es apagar y desconectar inmediatamente el servidor de la red/Internet», advirtió Atlassian.
«Además, es posible que desee apagar inmediatamente cualquier otro sistema que potencialmente comparta una base de usuarios o tenga combinaciones comunes de nombre de usuario / contraseña con el sistema comprometido».
Proteger inmediatamente los servidores de Confluence es extremadamente importante, teniendo en cuenta su atractivo pasado para los actores maliciosos, con incidentes anteriores relacionados con el ransomware AvosLocker y Cerber2021, el malware de botnet de Linux y los mineros de criptomonedas que subrayan la urgencia del asunto.
El año pasado, CISA ordenó a las agencias federales que parchearan otra vulnerabilidad crítica de Confluence (CVE-2022-26138) explotada en la naturaleza, basándose en alertas anteriores de la empresa de ciberseguridad Rapid7 y la empresa de inteligencia de amenazas GreyNoise.
Fuente y redacción: thehackernews.com
