Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Microsoft avverte che una vulnerabilità critica recentemente scoperta nei data center e nei server di Atlassian Confluence è stata sfruttata da hacker “governativi” del gruppo cinese Storm-0062 (aka DarkShadow e Oro0lxy) da metà settembre.
Questa vulnerabilità, identificata come CVE-2023-22515 (che ha uno score di 10 su 10 nella scala CVSSv3), è diventata nota il 4 ottobre 2023, quando gli sviluppatori Atlassian hanno divulgato informazioni sul bug e hanno riferito che gli aggressori lo stavano già utilizzando.
Il bug consente agli aggressori remoti di creare nuovi account amministratore di Confluence e ottenere l’accesso ai server. Ora gli analisti di Microsoft Threat Intelligence hanno condiviso ulteriori informazioni sulle attività del gruppo Storm-0062 e sullo sfruttamento di CVE-2023-22515 e hanno anche rivelato quattro indirizzi IP degli aggressori.
Dato che Atlassian ha rilasciato le patch all’inizio di ottobre e Storm-0062 sfrutta questa vulnerabilità dal 14 settembre 2023, gli hacker hanno avuto quasi tre settimane per creare nuovi account amministratore sugli endpoint vulnerabili.
A loro volta, gli analisti di Greynoise riferiscono che lo sfruttamento del bug CVE-2023-22515 è ancora molto limitato. Tuttavia, la situazione potrebbe cambiare presto, poiché questa settimana gli esperti di Rapid7 hanno rilasciato informazioni dettagliate sulla vulnerabilità e su un relativo exploit PoC .
Nel loro rapporto, i ricercatori hanno dimostrato come gli aggressori possono aggirare i controlli di sicurezza e quale comando cURL utilizzare per inviare una richiesta HTTP agli endpoint vulnerabili, con conseguente creazione di un nuovo account amministratore con una password nota agli aggressori.
I ricercatori hanno anche mostrato un’ulteriore possibilità che garantisce che gli altri utenti non ricevano alcuna notifica, il che aiuta a nascondere l’avvenuta compromissione. Gli esperti ricordano che Atlassian Confluence deve essere aggiornato il prima possibile alle seguenti versioni:
Tuttavia, la vulnerabilità CVE-2023-22515 non influisce sulle versioni di Confluence Data Center e Server precedenti alla 8.0.0, quindi gli utenti delle versioni precedenti non devono intraprendere alcuna azione.
