Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Il bug da score 10 su Atlassian Confluence è attivamente sfruttato dagli hacker governativi

Redazione RHC : 15 Ottobre 2023 10:20

Microsoft avverte che una vulnerabilità critica recentemente scoperta nei data center e nei server di Atlassian Confluence è stata sfruttata da hackergovernativi” del gruppo cinese Storm-0062 (aka DarkShadow e Oro0lxy) da metà settembre.

Questa vulnerabilità, identificata come CVE-2023-22515 (che ha uno score di 10 su 10 nella scala CVSSv3), è diventata nota il 4 ottobre 2023, quando gli sviluppatori Atlassian hanno divulgato informazioni sul bug e hanno riferito che gli aggressori lo stavano già utilizzando. 

Il bug consente agli aggressori remoti di creare nuovi account amministratore di Confluence e ottenere l’accesso ai server. Ora gli analisti di Microsoft Threat Intelligence hanno condiviso ulteriori informazioni sulle attività del gruppo Storm-0062 e sullo sfruttamento di CVE-2023-22515 e hanno anche rivelato quattro indirizzi IP degli aggressori.

Dato che Atlassian ha rilasciato le patch all’inizio di ottobre e Storm-0062 sfrutta questa vulnerabilità dal 14 settembre 2023, gli hacker hanno avuto quasi tre settimane per creare nuovi account amministratore sugli endpoint vulnerabili.

A loro volta, gli analisti di Greynoise riferiscono che lo sfruttamento del bug CVE-2023-22515 è ancora molto limitato. Tuttavia, la situazione potrebbe cambiare presto, poiché questa settimana gli esperti di Rapid7 hanno rilasciato informazioni dettagliate sulla vulnerabilità e su un relativo exploit PoC .

Nel loro rapporto, i ricercatori hanno dimostrato come gli aggressori possono aggirare i controlli di sicurezza e quale comando cURL utilizzare per inviare una richiesta HTTP agli endpoint vulnerabili, con conseguente creazione di un nuovo account amministratore con una password nota agli aggressori.

I ricercatori hanno anche mostrato un’ulteriore possibilità che garantisce che gli altri utenti non ricevano alcuna notifica, il che aiuta a nascondere l’avvenuta compromissione. Gli esperti ricordano che Atlassian Confluence deve essere aggiornato il prima possibile alle seguenti versioni:

  • 8.3.3 o successiva;
  • 8.4.3 o successiva;
  • 8.5.2 (versione del supporto a lungo termine) o successiva.

Tuttavia, la vulnerabilità CVE-2023-22515 non influisce sulle versioni di Confluence Data Center e Server precedenti alla 8.0.0, quindi gli utenti delle versioni precedenti non devono intraprendere alcuna azione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009