.
A Atlassian disse hoje que os malfeitores exploraram um bug crítico em instâncias locais do Confluence Server e do Confluence Data Center para criar e abusar de contas de administrador no software colaborativo corporativo.
A vulnerabilidade de escalonamento de privilégios, rastreada como CVE-2023-22515, afeta as versões 8.0.0 a 8.5.1. Versões anteriores a 8.0.0 não são afetadas pela falha. Nossa leitura dos detalhes é que as instâncias públicas estão potencialmente em perigo: qualquer pessoa que consiga acessar uma implantação vulnerável pode tentar explorá-la e obter acesso de administrador. Alguns clientes já foram atingidos por esta vulnerabilidade de dia zero e agora estão disponíveis atualizações para reforçar as instalações.
“A Atlassian foi informada de um problema relatado por alguns clientes, onde invasores externos podem ter explorado uma vulnerabilidade anteriormente desconhecida em instâncias de data center e servidor do Confluence publicamente acessíveis para criar contas de administrador não autorizadas do Confluence e acessar instâncias do Confluence”, de acordo com um comunicado de quarta-feira. consultivo da gigante do software.
“As instâncias na Internet pública estão particularmente em risco, pois esta vulnerabilidade pode ser explorada anonimamente.”
O fabricante de software também avisa que se uma instância já tiver sido invadida, a atualização não irá inicializar os intrusos. Assim, as organizações de TI devem tomar medidas para determinar se ocorreu um comprometimento e eliminar administradores não autorizados, desfazer qualquer dano ocorrido, descobrir o que foi acessado e assim por diante.
Um porta-voz se recusou a responder comentários específicos sobre a vulnerabilidade e quantos clientes foram comprometidos, mas confirmou que os sites da Atlassian Cloud não foram afetados.
“Fornecemos aos clientes detalhes das versões afetadas, etapas de mitigação necessárias e ações de detecção de ameaças em nosso comunicado crítico de segurança”, disse o porta-voz. Strong The One.
Além de atualizar para versões fixas do software, a Atlassian incentivou os clientes a aplicarem medidas de mitigação. Isso inclui a restrição do acesso à rede externa às instâncias. Os administradores também podem mitigar vetores de ataque conhecidos, não permitindo acesso ao /setup/* endpoints em instâncias do Confluence.
Em um comunicado separado, a loja de segurança da informação Rapid7 opinou sobre o CVE, com a pesquisadora Caitlin Condon observando: “A Atlassian não especifica a causa raiz da vulnerabilidade ou onde exatamente reside a falha nas implementações do Confluence, embora os indicadores de comprometimento incluam menção aos endpoints /setup/*.”
Condon também disse que é “incomum”, mas “não inédito”, que uma vulnerabilidade de escalonamento de privilégios obtenha uma classificação de gravidade crítica. Nesse caso, parece ser uma falha remota de elevação de privilégio não autenticada, permitindo que os malfeitores criem suas próprias contas de administrador para usar, o que seria ruim.
“O comunicado da Atlassian implica que a vulnerabilidade pode ser explorada remotamente, o que normalmente é mais consistente com um desvio de autenticação ou cadeia de execução remota de código do que com um problema de escalonamento de privilégios por si só”, disse Condon.
“É possível que a vulnerabilidade permita que uma conta de usuário normal seja elevada a administrador – notavelmente, o Confluence permite inscrições de novos usuários sem aprovação, mas esse recurso está desabilitado por padrão.”
Mais detalhes e prováveis vítimas surgirão sem dúvida nos próximos dias e estaremos de olho nesta vulnerabilidade. Fique atento. ®
.
