Detección de CVE-2022-26134: Vulnerabilidad de Día Cero en Atlassian Confluence

Los adversarios lanzan ataques que generan titulares contra servidores de Confluence vulnerables en todo el mundo. Atlassian alerta a sus usuarios sobre los riesgos de seguridad asociados con una falla RCE detectada en todas las versiones compatibles de Confluence (Server y Data Center). El error se rastrea como CVE-2022-26134, con el proveedor calificándolo como de la más alta severidad. A partir del 3 de junio de 2022, no hay parches para solucionar esta vulnerabilidad en el wiki corporativo de Atlassian.

Detectar CVE-2022-26134

Para evitar que este exploit de día cero cause daños significativos a su sistema, utilice las siguientes reglas Sigma lanzadas por un equipo de ingenieros de caza de amenazas dedicados de SOC Prime:

Posible ejecución por actividad post explotación de la vulnerabilidad CVE-2022-26134 (vía cmdline)

Posibles patrones de inyección de comandos del sistema operativo (vía web)

Proceso secundario de Java sospechoso (vía cmdline)

Un conjunto de reglas más de 2020 que nuestros analistas de seguridad consideran útil:

Posibles patrones de inyección de comandos del sistema operativo (vía web)

Los usuarios no registrados pueden navegar por la colección de reglas Sigma disponibles a través del Motor de Búsqueda, una ventanilla única para inteligencia de amenazas y contenido SOC. Presione el Perforar en el motor de búsqueda botón para llevar su rutina de detección al siguiente nivel.

Otra opción que desbloquea más posibilidades es registrarse en la plataforma SOC Prime y obtener un plan de suscripción comunitaria gratuito. Presione el Ver en Plataforma SOC Prime para acceder a una colección exhaustiva de algoritmos de detección para múltiples vulnerabilidades de día cero alineadas con más de 25 soluciones SIEM, EDR y XDR.

Ver en Plataforma SOC Prime Perforar en el motor de búsqueda

Descripción de CVE-2022-26134

La vulnerabilidad en Confluence fue detectada por primera vez por Volexity recientemente, durante un fin de semana del Día de los Caídos. Según los investigadores, los actores de amenazas aprovecharon la vulnerabilidad de inyección de día cero para obtener acceso completo al sistema e instalar la web shell Behinder para acciones maliciosas adicionales.

Debido a la falta de un parche, Atlassian recomienda que los administradores prohíban el acceso externo a los servidores de Confluence. Actualmente, no hay datos sobre servidores alojados en la nube afectados por este agujero de seguridad.

El pasado agosto, la empresa reveló otro error crítico en su producto que permitía a usuarios no autenticados ejecutar código arbitrario en dispositivos con Confluence Server o Confluence Data Center instalado. La falla de inyección se asignó a CVE-2021-26084.

SOC Prime amplía continuamente el soporte para herramientas y tecnologías de análisis de seguridad, enriqueciendo las capacidades de detección para plataformas SIEM, EDR y XDR de próxima generación, y asegurando soluciones rentables y a prueba de futuro para profesionales SOC en todo el mundo. Aprender más sobre lo que ofrecemos para mejorar la detección.