Confluence RCE

La buena noticia es que la falla se solucionó a principios de diciembre de 2023 con el lanzamiento de las versiones 8.5.4 LTS (Centro de datos y servidor) y 8.6.0 y 8.7.1 (solo Centro de datos), por lo que algunos clientes ya actualizaron a esas. o a versiones posteriores. La mala noticia es que algunos clientes no lo han hecho.

Atlassian no ha mencionado si la vulnerabilidad se está explotando activamente, pero ha dicho que los clientes » deben tomar medidas inmediatas para proteger sus instancias de Confluence».

Acerca de CVE-2023-22527

CVE-2023-22527 es una vulnerabilidad de inyección de plantilla que permite a un atacante no autenticado lograr RCE en una versión afectada de Confluence Data Center y Confluence Server: 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, y 8.5.0-8.5.3. No hay ninguna solución disponible.

«Las versiones compatibles más recientes de Confluence Data Center y Server no se ven afectadas por esta vulnerabilidad, ya que finalmente se mitigó durante las actualizaciones periódicas», señaló la compañía hoy (es decir, más de un mes después de lanzar esas actualizaciones).

Las instancias de Atlassian Cloud no se ven afectadas por esta vulnerabilidad, al igual que la versión 7.19.x de Confluence.

Consejos adicionales para clientes

Las instancias vulnerables de Confluence han sido objetivos preferidos de varios actores de amenazas a lo largo de los años.«Si no se puede acceder a la instancia de Confluence desde Internet, el riesgo de explotación se reduce, pero no se mitiga por completo», añadió la empresa , y nuevamente «recomendó encarecidamente» actualizar a la última versión disponible.Si la actualización es imposible en este momento, los clientes deben desconectar su sistema de Internet inmediatamente, hacer una copia de seguridad de los datos de la instancia en una ubicación segura fuera de la instancia de Confluence y contratar a su equipo de seguridad local para que revise cualquier posible actividad maliciosa.

Desafortunadamente, Atlassian no compartió posibles indicadores de compromiso, ya que «la posibilidad de múltiples puntos de entrada, junto con ataques encadenados, hace que sea difícil enumerarlos [todos]».

Fuente y redacción: Zeljka Zorz / helpnetsecurity.com

Compartir