Registrada como CVE-2023-22527 (puntuación CVSS: 10.0), la vulnerabilidad afecta a las versiones desactualizadas del software, lo que permite a atacantes no autenticados lograr la ejecución remota de código en instalaciones susceptibles.
La deficiencia afecta a las versiones de Confluence Data Center y Server 8 lanzadas antes del 5 de diciembre de 2023, así como a la 8.4.5.
Pero apenas unos días después de que la falla se hiciera pública, ya el 19 de enero se registraron casi 40.000 intentos de explotación dirigidos a CVE-2023-22527 desde más de 600 direcciones IP únicas, según la Fundación Shadowserver y a TheDFIRReport.
Actualmente, la actividad se limita a «probar intentos de devolución de llamada y ejecución ‘whoami'», lo que sugiere que los actores de amenazas están escaneando de manera oportunista en busca de servidores vulnerables para una posterior explotación.
La mayoría de las direcciones IP de los atacantes proceden de Rusia (22.674), seguida de Singapur, Hong Kong, Estados Unidos, China, India, Brasil, Taiwán, Japón y Ecuador.
Se ha descubierto que se puede acceder a más de 11.000 instancias de Atlassian a través de Internet hasta el 21 de enero de 2024, aunque actualmente no se sabe cuántas de ellas son vulnerables a CVE-2023-22527. «CVE-2023-22527 es una vulnerabilidad crítica dentro del servidor y centro de datos Confluence de Atlassian», dijeron los investigadores de ProjectDiscovery Rahul Maini y Harsh Jaiswal en un análisis técnico de la falla. «Esta vulnerabilidad tiene el potencial de permitir a atacantes no autenticados inyectar expresiones OGNL en la instancia de Confluence, permitiendo así la ejecución de código arbitrario y comandos del sistema».
Fuente y redacción: segu-info.com.ar
