Badacze z zakresu bezpieczeństwa obserwują wielokrotne próby wykorzystania luki CVE-2023-22527, która dotyczy przestarzałych wersji serwerów Atlassian Confluence.
Atlassian ujawniło problem związany z bezpieczeństwem w zeszłym tygodniu i zaznaczyło, że dotyczy tylko wersji Confluence wydanych przed 5 grudnia 2023 roku, wraz z niektórymi wersjami nie wspieranymi.
Luka jest o krytycznym stopniu zagrożenia i opisuje się ją jako słabość wstrzykiwania szablonów, która umożliwia nieuwierzytelnionym zdalnym atakującym wykonanie kodu na narażonych punktach końcowych Confluence Data Center i Confluence Server, wersjach 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x i 8.5.0 do 8.5.3.
Naprawa jest dostępna dla wersji Confluence Data Center i Server 8.5.4 (LTS), 8.6.0 (tylko Data Center) i 8.7.1 (tylko Data Center) oraz nowszych wersji.
Usługa monitorowania zagrożeń Shadowserver informuje dziś, że jej systemy odnotowały tysiące prób wykorzystania CVE-2023-22527, ataki pochodzące z nieco ponad 600 unikalnych adresów IP.
Usługa ta twierdzi, że atakujący próbują wywołać zwrotnie polecenie „whoami”, aby zbierać informacje na temat poziomu dostępu i uprawnień w systemie.
Łączna liczba prób wykorzystania zarejestrowanych przez Fundację Shadowserver wynosi powyżej 39 000, a większość ataków pochodzi z rosyjskich adresów IP.
Shadowserver informuje, że jego skanery obecnie wykrywają 11 100 instancji Atlassian Confluence dostępnych w publicznym internecie. Jednak nie wszystkie z nich muszą działać na podatnej wersji.
Atakujący różnego rodzaju, włącznie z wyspecjalizowanymi grupami finansowanymi przez państwa oraz oportunistycznymi grupami ransomware, często wykorzystują podatności platformy Atlassian Confluence, w tym CVE-2023-22527.
W odniesieniu do CVE-2023-22527, Atlassian wcześniej powiedziało, że nie jest w stanie udzielić konkretnej pomocy w postaci wskaźników kompromitacji (IoCs), które ułatwiłyby wykrywanie przypadków wykorzystania.
Administratorzy serwera Confluence powinni upewnić się, że zarządzane przez nich punkty końcowe zostały zaktualizowane przynajmniej do wersji wydanej po 5 grudnia 2023 roku.
Dla organizacji korzystających z przestarzałych wersji Confluence, zaleca się traktowanie ich jako potencjalnie skompromitowanych, poszukiwanie oznak wykorzystania, przeprowadzenie dokładnego czyszczenia i zaktualizowanie do bezpiecznej wersji.
Sekcja FAQ oparta na głównych tematach i informacjach zawartych w artykule:
1. Jaka jest luka CVE-2023-22527 w serwerach Atlassian Confluence?
Luka CVE-2023-22527 to słabość wstrzykiwania szablonów w przestarzałych wersjach serwerów Atlassian Confluence. Pozwala ona nieuwierzytelnionym zdalnym atakującym na wykonanie kodu na narażonych punktach końcowych Confluence Data Center i Confluence Server w niektórych wersjach.
2. Jakie wersje serwerów Atlassian Confluence są dotknięte lukią CVE-2023-22527?
Narażone na lukię CVE-2023-22527 są wersje 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x i 8.5.0 do 8.5.3 serwerów Atlassian Confluence.
3. Czy istnieje dostępna naprawa dla luki CVE-2023-22527?
Tak, naprawa jest dostępna dla wersji Confluence Data Center i Server 8.5.4 (LTS), 8.6.0 (tylko Data Center) i 8.7.1 (tylko Data Center) oraz nowszych wersji.
4. Jakie są objawy prób wykorzystania luki CVE-2023-22527?
Atakujący próbują wywołać polecenie „whoami”, aby zbierać informacje na temat poziomu dostępu i uprawnień w systemie.
5. Skąd pochodzą ataki wykorzystujące lukę CVE-2023-22527?
Większość ataków wykorzystujących lukę CVE-2023-22527 pochodzi z rosyjskich adresów IP.
6. Co powinni zrobić administratorzy serwerów Confluence w związku z lukią CVE-2023-22527?
Administratorzy serwera Confluence powinni upewnić się, że zarządzane przez nich punkty końcowe zostały zaktualizowane przynajmniej do wersji wydanej po 5 grudnia 2023 roku.
7. Co zaleca się zrobić dla organizacji korzystających z przestarzałych wersji Confluence?
Organizacje korzystające z przestarzałych wersji Confluence powinny traktować je jako potencjalnie skompromitowane, poszukiwać oznak wykorzystania, przeprowadzić dokładne czyszczenie i zaktualizować do bezpiecznej wersji.
Definicje kluczowych terminów i żargonu użytego w artykule:
– CVE-2023-22527: Unikalny identyfikator luki zgłoszonej w systemie Common Vulnerabilities and Exposures (CVE), która dotyczy słabości wstrzykiwania szablonów w przestarzałych wersjach serwerów Atlassian Confluence.
– Atlassian Confluence: Platforma służąca do współpracy i dokumentacji, używana przez organizacje do tworzenia, organizowania i udostępniania treści.
– Shadowserver: Usługa monitorowania zagrożeń informująca o próbach wykorzystania luki CVE-2023-22527 oraz innych zagrożeń w internecie.
Sugerowane powiązane linki do głównej domeny (nie podstrony) w formacie adres linku:
– https://www.atlassian.com/ (Atlassian)
– https://www.shadowserver.org/ (Shadowserver)