Il bug da score 10 su Atlassian Confluence è attivamente sfruttato dagli hacker governativi

Redazione RHC : 15 Ottobre 2023 10:20

Microsoft avverte che una vulnerabilità critica recentemente scoperta nei data center e nei server di Atlassian Confluence è stata sfruttata da hacker “governativi” del gruppo cinese Storm-0062 (aka DarkShadow e Oro0lxy) da metà settembre.

Questa vulnerabilità, identificata come CVE-2023-22515 (che ha uno score di 10 su 10 nella scala CVSSv3), è diventata nota il 4 ottobre 2023, quando gli sviluppatori Atlassian hanno divulgato informazioni sul bug e hanno riferito che gli aggressori lo stavano già utilizzando. 

Il bug consente agli aggressori remoti di creare nuovi account amministratore di Confluence e ottenere l’accesso ai server. Ora gli analisti di Microsoft Threat Intelligence hanno condiviso ulteriori informazioni sulle attività del gruppo Storm-0062 e sullo sfruttamento di CVE-2023-22515 e hanno anche rivelato quattro indirizzi IP degli aggressori.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Dato che Atlassian ha rilasciato le patch all’inizio di ottobre e Storm-0062 sfrutta questa vulnerabilità dal 14 settembre 2023, gli hacker hanno avuto quasi tre settimane per creare nuovi account amministratore sugli endpoint vulnerabili.

A loro volta, gli analisti di Greynoise riferiscono che lo sfruttamento del bug CVE-2023-22515 è ancora molto limitato. Tuttavia, la situazione potrebbe cambiare presto, poiché questa settimana gli esperti di Rapid7 hanno rilasciato informazioni dettagliate sulla vulnerabilità e su un relativo exploit PoC .

Nel loro rapporto, i ricercatori hanno dimostrato come gli aggressori possono aggirare i controlli di sicurezza e quale comando cURL utilizzare per inviare una richiesta HTTP agli endpoint vulnerabili, con conseguente creazione di un nuovo account amministratore con una password nota agli aggressori.

I ricercatori hanno anche mostrato un’ulteriore possibilità che garantisce che gli altri utenti non ricevano alcuna notifica, il che aiuta a nascondere l’avvenuta compromissione. Gli esperti ricordano che Atlassian Confluence deve essere aggiornato il prima possibile alle seguenti versioni:

• 8.3.3 o successiva;
• 8.4.3 o successiva;
• 8.5.2 (versione del supporto a lungo termine) o successiva.

Tuttavia, la vulnerabilità CVE-2023-22515 non influisce sulle versioni di Confluence Data Center e Server precedenti alla 8.0.0, quindi gli utenti delle versioni precedenti non devono intraprendere alcuna azione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli