Urgente: Parche Atlassian Confluence Ahora - CISA & FBI Advisory
CISA, el FBI y MS-ISAC recomiendan encarecidamente a los administradores de red que apliquen rápidamente parches a sus servidores Atlassian Confluence para protegerse contra la explotación activa de una vulnerabilidad de seguridad crítica.
Identificado como CVE-2023-22515, este fallo crítico afecta a versiones específicas de Atlassian Confluence Data Center y Server, permitiendo a actores maliciosos obtener acceso inicial a instancias de Confluence mediante la creación de cuentas de administrador de Confluence no autorizadas.
Atlassian Confluence explotado como día cero
El 4 de octubre, Atlassian publicó actualizaciones de seguridad e instó a los usuarios a actualizar inmediatamente sus instancias de Confluence a una de las versiones parcheadas (8.3.3 o posterior, 8.4.3 o posterior, u 8.5.2 o posterior). La urgencia de este consejo se debe al hecho de que la vulnerabilidad ya estaba siendo explotada activamente "in the wild" como un día cero.
Los actores de la amenaza explotaron CVE-2023-22515 como un día cero, obteniendo así acceso a los sistemas de las víctimas y explotándolos persistentemente incluso después de que los parches estuvieran disponibles. Atlassian ha clasificado esta vulnerabilidad como crítica, y CISA, el FBI y MS-ISAC prevén una explotación continua y generalizada debido a su facilidad de uso.
Para aquellos que no puedan actualizar inmediatamente, la guía recomendaba apagar las instancias afectadas o aislarlas del acceso a Internet. Además, se animó a los administradores de red a realizar comprobaciones exhaustivas para detectar indicadores de compromiso, incluida la identificación de cuentas de usuario administrativas nuevas o sospechosas.
Una semana después de que CISA añadiera esta vulnerabilidad a su lista de vulnerabilidades explotadas conocidas, Microsoft reveló que un grupo de amenazas respaldado por China, conocido como Storm-0062 (también reconocido como DarkShadow u Oro0lxy), había estado explotando este fallo como día cero desde al menos el 14 de septiembre de 2023.
Conclusión
Esta advertencia se produce dos semanas después de que Atlassian publicara actualizaciones de seguridad para hacer frente a la amenaza y menos de una semana después de que la unidad de Inteligencia de Amenazas de Microsoft identificara a un grupo chino de amenazas persistentes avanzadas (APT) patrocinado por el estado y denominado Storm-0062 (también conocido como DarkShadow u Oro0lxy) como la fuente detrás de una serie de ataques en curso que han estado explotando este fallo altamente crítico desde el 14 de septiembre.
Las agencias federales no sólo instan a las organizaciones a parchear Atlassian Confluence, sino que también les animan a buscar de forma proactiva indicios de actividades maliciosas en sus redes. Proporcionan orientación sobre cómo detectar estas actividades utilizando las firmas de detección y los indicadores de compromiso (IOC) enumerados en el aviso.
Las fuentes de este artículo incluyen un artículo de Security Boulevard.