El código de explotación de prueba de concepto (PoC) para una vulnerabilidad crítica que Atlassian reveló en su tecnología de servidor y centro de datos Confluence se ha puesto a disposición del público, lo que aumenta la necesidad de que las organizaciones que utilizan la plataforma de colaboración apliquen inmediatamente la solución de la empresa.

ShadowServer, que monitorea Internet en busca de actividad maliciosa, informó el 3 de noviembre que observó intentos de explotar la vulnerabilidad Atlassian desde al menos 36 direcciones IP únicas durante las últimas 24 horas.

atlassian reveló la gravedad casi máxima error (9.1 sobre 10 en la escala CVSS) el 31 de octubre con una advertencia de su CISO sobre la vulnerabilidad que presenta un riesgo de "pérdida significativa de datos" si se explota.

Información sobre vulnerabilidad disponible públicamente

El error, asignado el identificador. CVE-2023-22518, afecta a los clientes de todas las versiones de Atlassian Data Center y Atlassian Server, pero no a aquellos que utilizan las versiones alojadas en la nube de estas tecnologías de la empresa. La descripción del error que hizo Atlassian lo identificó como un problema que implica una baja complejidad de ataque, ninguna interacción del usuario y algo que un atacante podría explotar con pocos o ningún privilegio especial.

La vulnerabilidad tiene que ver con una autorización inadecuada, que básicamente es una debilidad que permite a un atacante obtener acceso a funciones y datos privilegiados de una aplicación. En este caso, un atacante que aproveche la vulnerabilidad podría eliminar datos de una instancia de Confluence o bloquear el acceso a ella. Pero no podrían extraer datos de él, según un análisis de la empresa de inteligencia de seguridad. Efecto de campo.

El 2 de noviembre, Atlassian actualizó su alerta de vulnerabilidad del 31 de octubre con una advertencia sobre los detalles técnicos de CVE-2023-22518 que estarán disponibles públicamente. La información aumenta el riesgo de que los atacantes aprovechen la vulnerabilidad, dijo Atlassian. "Aún no hay informes de un exploit activo, aunque los clientes deben tomar medidas inmediatas para proteger sus instancias", dijo la compañía. El consejo se hizo eco de la recomendación de Atlassian cuando reveló por primera vez el error a principios de esta semana. La compañía ha recomendado que las organizaciones que no puedan parchear de inmediato eliminen sus instancias de Confluence de Internet hasta que puedan parchear.

Gran cantidad de sistemas expuestos

ShadowServer describió la creciente actividad de exploits como intentos de cargar archivos y configurar o restaurar instancias vulnerables de Confluence accesibles a través de Internet.

“Vemos alrededor 24K expuesto (no necesariamente vulnerable)”, dijo ShadowServer de instancias de Atlassian Confluence. Una pluralidad de los sistemas expuestos (unos 5,500) están ubicados en los Estados Unidos. Otros países con un número relativamente alto de sistemas Atlassian Confluence expuestos incluyen China con unos 3,000 sistemas, Alemania con 2,000 y Japón con alrededor de 1,400 instancias expuestas.

CVE-2023-22518 es la segunda vulnerabilidad importante que Atlassian ha revelado en sus tecnologías de colaboración ampliamente utilizadas Confluence Data Center y Confluence Server durante el último mes. El 4 de octubre, la empresa reveló CVE-2023-22515, un error de control de acceso roto de máxima gravedad. Atlassian solo descubrió el error después de que algunos clientes con instancias públicas de Confluence Data Center y Server informaron haber encontrado problemas con él. Atlassian identificó más tarde al atacante como un actor de estado-nación.

Al igual que con el nuevo error, CVE-2023-22515 también implicó una baja complejidad de ataque. Las preocupaciones sobre la facilidad con la que podría explotarse provocaron un aviso conjunto de la Agencia de Infraestructura y Ciberseguridad de EE. UU., el FBI y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC). El aviso advirtió a las organizaciones que estuvieran preparadas para una actividad de explotación generalizada y las instó a corregir la falla lo antes posible.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/critical-atlassian-bug-exploit-immediate-patching