.
As autoridades dos EUA emitiram um apelo urgente aos administradores de rede para corrigirem a vulnerabilidade crítica no Atlassian Confluence Data Center and Server em meio à exploração contínua do estado-nação.
A consultoria conjunta de segurança cibernética da CISA, do FBI e do Centro Multiestatal de Compartilhamento e Análise de Informações (MS-ISAC) ocorre após o Divulgação de 4 de outubro do CVE-2023-22515, ao qual foi atribuída uma pontuação CVSS de 10 pela Atlassian.
Dado que as potenciais consequências de uma exploração bem sucedida podem levar os atacantes a criar novas contas de administração para si próprios, e a sofisticação dos atacantes que já tentam explorações, as organizações expressaram um forte grau de imediatismo na sua atualização.
CISA, FBI e MS-ISAC também acreditam que as capacidades dos invasores que exploram com sucesso a vulnerabilidade de dia zero não se limitam à criação de contas. Sua capacidade de modificar arquivos de configuração – o precursor da criação de contas – indica que outras tarefas também podem ser realizadas.
“Em 5 de outubro de 2023, a CISA adicionou esta vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas com base em evidências de exploração ativa”, o consultivo lê.
“Devido à facilidade de exploração, CISA, FBI e MS-ISAC esperam ver uma exploração generalizada de instâncias não corrigidas do Confluence em redes governamentais e privadas.”
Além de aplicar patches “imediatamente”, as organizações recomendam procurar proativamente invasões ou atividades maliciosas na rede, uma vez que os invasores não são expulsos apenas pela atualização.
Se uma instância já estiver comprometida, o administrador da rede deve não apenas atualizar para uma das versões seguras, mas também determinar manualmente se alguma conta de administrador foi criada por pessoas com intenções maliciosas, removendo-as e quaisquer outros danos que possam ter causado.
As versões protegidas da vulnerabilidade de dia zero são:
- Todas as versões anteriores e não incluindo 8.0.0
- 8.3.3 ou posterior
- 8.4.3 ou posterior
- 8.5.2 (versão de suporte de longo prazo) ou posterior
“As organizações são incentivadas a revisar todas as instâncias afetadas do Confluence em busca de evidências de comprometimento, conforme descrito pela Atlassian”, diz o comunicado.
“Se houver suspeita ou detecção de comprometimento, as organizações devem presumir que os agentes da ameaça possuem acesso administrativo total e podem realizar inúmeras ações irrestritas – incluindo, entre outras, exfiltração de conteúdo e credenciais do sistema, bem como instalação de plug-ins maliciosos”.
Explorações contínuas
A Microsoft confirmou em 10 de outubro que os invasores do Estado-nação já haviam iniciado tentativas de exploração contra o CVE-2023-22515.
“A Microsoft observou o ator de ameaça estatal Storm-0062 explorando CVE-2023-22515 em estado selvagem desde 14 de setembro de 2023. CVE-2023-22515 foi divulgado em 4 de outubro de 2023. Storm-0062 é rastreado por outros como DarkShadow ou Oro0lxy”, disse em um publicar em X.
Storm-0062 é o nome que a Microsoft usa em sua taxonomia atual para rastrear um grupo ofensivo específico apoiado pelo Estado chinês, anteriormente conhecido como DEV-0062.
Strong The One perguntou à Atlassian quantas instâncias do Confluence permanecem sem correção, mas não respondeu a perguntas específicas sobre o assunto.
Um porta-voz fez uma declaração geral: “As mitigações listadas em nosso comunicado são uma medida provisória para clientes que não podem atualizar imediatamente sua instância ou retirá-la da Internet até que possam atualizar.
“Nossa prioridade é a segurança das instâncias de nossos clientes durante esta vulnerabilidade crítica. Esta é uma investigação em andamento e incentivamos os clientes a compartilhar evidências de comprometimento para apoiar esses esforços.”
Os dados da GreyNoise sobre tentativas de exploração de CVE-2023-22515 indicam que o número de IPs exclusivos que tentam explorar a vulnerabilidade é baixo, mas os números são consistentes com os IPs conhecidos divulgados pela Microsoft.
As tentativas de exploração atingiram o pico dois dias depois que o código de prova de conceito (PoC) foi tornou-se público em 10 de outubro, de acordo com para GreyNoise.
Sempre que o código PoC é lançado, a probabilidade de exploração bem-sucedida aumenta acentuadamente.
“Embora existam preocupações imediatas, como o aumento do risco de exploração e a potencial integração em kits de ferramentas de malware, a disponibilidade de uma prova de conceito apresenta uma série de desafios operacionais e de segurança que vão além dessas questões imediatas. abordar os riscos potenciais associados a este desenvolvimento”, disseram CISA, FBI e MS-ISAC.
Em 10 de outubro, a Microsoft tinha conhecimento de quatro IPs enviando tráfego de exploração e a investigação do FBI revelou mais cinco. Juntos, isso equivale aproximadamente ao mesmo total de 11 que a GreyNoise registrou.
Para aqueles que não conseguem aplicar os patches imediatamente, a Atlassian recomenda que os administradores apliquem as mitigações limitadas em seu consultivo.
“Observação: essas ações de mitigação são limitadas e não substituem a atualização de sua instância; você deve atualizar o mais rápido possível”, disse. ®
.
