CVE-2023-22527 Erkennung: Höchst schwerwiegende RCE-Schwachstelle in Atlassians Confluence Server und Data Center in freier Wildbahn ausgenutzt

[post-views]
Januar 23, 2024 · 3 min zu lesen
CVE-2023-22527 Erkennung: Höchst schwerwiegende RCE-Schwachstelle in Atlassians Confluence Server und Data Center in freier Wildbahn ausgenutzt

Gegner führen hochkarätige Angriffe im freien Feld durch, indem sie RCE-Schwachstellen ausnutzen die Atlassian Confluence-Server betreffen. Eine neu entdeckte RCE-Schwachstelle in Confluence Data Center und Confluence Server wurde nur wenige Tage nach ihrer Entdeckung unter aktiver Ausnutzung beobachtet. Der kritische Fehler, der als CVE-2023-22527 verfolgt wird, hat den höchstmöglichen CVSS-Wert von 10,0 und betrifft veraltete Atlassian Confluence-Server.

Erkennung von CVE-2023-22527-Ausbeutungsversuchen

Angesichts der rund 30.000 neu gemeldeten Schwachstellen im Jahr 2023 und eines ständig wachsenden Trends für die kommenden Jahre benötigen Cybersicherheitsfachleute eine innovative Lösung, um Ausnutzungen rechtzeitig zu erkennen und die Infrastruktur der Organisation proaktiv zu verteidigen.

Angesichts der kritischen Schwere des Fehlers und der weit verbreiteten Einführung von Atlassian-Lösungen durch Unternehmen weltweit ist es wichtig, eine zuverlässige Quelle für Erkennungsinhalte zu haben, um verwandte Cyberangriffe in den frühesten Entwicklungsstadien zu identifizieren.

Möglicher CVE-2023-22527 (Confluence Data Center und Server Remote Code Execution) Ausbeutungsversuch (über Webserver)

Die oben von dem SOC Prime-Team bereitgestellte Regel hilft dabei, mögliche CVE-2023-22527 Remote Code Execution zu identifizieren, um anfänglichen Zugriff auf anfällige Anwendungen zu erlangen. Für eine reibungslose Leistung erfordert die Regel das Protokollieren von POST-Anfragedaten für jede Anfrage. Die Erkennung ist kompatibel mit 13 SIEM-, EDR-, XDR- und Data-Lake-Lösungen und wird mit MITRE ATT&CK v14 abgeglichen, wobei die Taktik des anfänglichen Zugriffs und Exploit Public-Facing Applications (T1190) als Haupttechnik behandelt wird.

Um stets über Angriffe informiert zu bleiben, die sich auf neue CVEs stützen, vertiefen Sie sich in die gesamte Sammlung relevanter Regeln und Jagdabfragen, die im Threat Detection Marketplace von SOC Prime verfügbar sind. Klicken Sie auf die Schaltfläche Erkennung erkunden und greifen Sie auf den umfangreichen Erkennungsstapel mit dem vollständigen Bedrohungskontext zu Ihren Händen zu.

Erkennung erkunden

CVE-2023-22527 Analyse

Am 16. Januar 2023 veröffentlichte Atlassian Confluence ein Sicherheitsbulletin, das die Kunden des Unternehmens über eine neue kritische RCE-Schwachstellenmeldung informiert. Eine als CVE-2023-22527 bekannte Vorlageninjektionsschwachstelle ermöglicht es nicht authentifizierten Angreifern, RCE auf betroffenen Softwareinstanzen zu aktivieren. Die Schwachstelle, die auf der CVSS-Skala mit 10,0 bewertet wurde und auf eine äußerst kritische Schwere hinweist, stellt eine Bedrohung für veraltete Softwareversionen dar, die vor dem 5. Dezember 2023 veröffentlicht wurden, zusammen mit der Version 8.4.5, die keine Backport-Fixes mehr erhält.

Laut dem Bedrohungsüberwachungsdienst von Shadowservergab es bereits über 40.000 Ausnutzungsversuche, die CVE-2023-22527 weaponisieren, mit im freien Feld vorkommenden Angriffen von etwas mehr als 600 verschiedenen IP-Adressen ausgehend. Bemerkenswerterweise sind über 20.000 der identifizierten IP-Adressen Russland zugeordnet.

Was die Maßnahmen zur Minderung von CVE-2023-22527 betrifft, hat Atlassian keine Workaround angeboten. Um die Bedrohung zu beheben, wird den Kunden dringend empfohlen, jedes betroffene Produkt auf die neueste verfügbare Version zu aktualisieren. Obwohl die neuesten unterstützten Versionen der Confluence-Endpunkte von diesem Fehler unberührt bleiben, rät Atlassian seinen Kunden, auf die neueste Softwareversion zu patchen, um sicherzustellen, dass die Server vor potenziellen unkritischen Sicherheitsfehlern vollständig geschützt sind.

Verteidiger können versuchen, nach Dutzenden von anbieterunabhängigen Regeln und Abfragen bei SOC Prime zu suchen, um Bedrohungen zu erkennen, die Atlassian Confluence-Endpunktebetreffen, einschließlich bekannter Zero-Days und CVEs. Erkunden Sie den relevanten Cyberbedrohungskontext, einschließlich ATT&CK-Referenzen und -Minderungen, mit Erkennungen verknüpften Binärdateien und anderen umsetzbaren Metadaten, um Ihre Bedrohungsuntersuchungsroutine zu unterstützen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme
Veronika Telychko
CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Veronika Telychko
CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Veronika Telychko