Redazione RHC : 15 Ottobre 2023 10:20
Microsoft avverte che una vulnerabilità critica recentemente scoperta nei data center e nei server di Atlassian Confluence è stata sfruttata da hacker “governativi” del gruppo cinese Storm-0062 (aka DarkShadow e Oro0lxy) da metà settembre.
Questa vulnerabilità, identificata come CVE-2023-22515 (che ha uno score di 10 su 10 nella scala CVSSv3), è diventata nota il 4 ottobre 2023, quando gli sviluppatori Atlassian hanno divulgato informazioni sul bug e hanno riferito che gli aggressori lo stavano già utilizzando.
Il bug consente agli aggressori remoti di creare nuovi account amministratore di Confluence e ottenere l’accesso ai server. Ora gli analisti di Microsoft Threat Intelligence hanno condiviso ulteriori informazioni sulle attività del gruppo Storm-0062 e sullo sfruttamento di CVE-2023-22515 e hanno anche rivelato quattro indirizzi IP degli aggressori.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Supporta Red Hot Cyber attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.Microsoft has observed nation-state threat actor Storm-0062 exploiting CVE-2023-22515 in the wild since September 14, 2023. CVE-2023-22515 was disclosed on October 4, 2023. Storm-0062 is tracked by others as DarkShadow or Oro0lxy.
— Microsoft Threat Intelligence (@MsftSecIntel) October 10, 2023
Dato che Atlassian ha rilasciato le patch all’inizio di ottobre e Storm-0062 sfrutta questa vulnerabilità dal 14 settembre 2023, gli hacker hanno avuto quasi tre settimane per creare nuovi account amministratore sugli endpoint vulnerabili.
A loro volta, gli analisti di Greynoise riferiscono che lo sfruttamento del bug CVE-2023-22515 è ancora molto limitato. Tuttavia, la situazione potrebbe cambiare presto, poiché questa settimana gli esperti di Rapid7 hanno rilasciato informazioni dettagliate sulla vulnerabilità e su un relativo exploit PoC .
Nel loro rapporto, i ricercatori hanno dimostrato come gli aggressori possono aggirare i controlli di sicurezza e quale comando cURL utilizzare per inviare una richiesta HTTP agli endpoint vulnerabili, con conseguente creazione di un nuovo account amministratore con una password nota agli aggressori.
I ricercatori hanno anche mostrato un’ulteriore possibilità che garantisce che gli altri utenti non ricevano alcuna notifica, il che aiuta a nascondere l’avvenuta compromissione. Gli esperti ricordano che Atlassian Confluence deve essere aggiornato il prima possibile alle seguenti versioni:
Tuttavia, la vulnerabilità CVE-2023-22515 non influisce sulle versioni di Confluence Data Center e Server precedenti alla 8.0.0, quindi gli utenti delle versioni precedenti non devono intraprendere alcuna azione.
RedazioneLa frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
