Detección de CVE-2023-22527: Vulnerabilidad RCE de Máxima Severidad en Confluence Server y Data Center de Atlassian Explotada en el Entorno
Tabla de contenidos:
Los adversarios llevan a cabo ataques destacados en el mundo real al armar vulnerabilidades de ejecución remota de código (RCE) que afectan a los servidores de Atlassian Confluence. Se ha observado una vulnerabilidad RCE recién descubierta en el Centro de Datos de Confluence y el Servidor Confluence bajo explotación activa apenas unos días después de su descubrimiento. La falla crítica rastreada como CVE-2023-22527 con la puntuación CVSS más alta posible de 10.0 afectada a los servidores Atlassian Confluence desactualizados.
Detectar Intentos de Explotación de CVE-2023-22527
Con cerca de 30,000 nuevas vulnerabilidades reportadas en 2023 y una tendencia de crecimiento constante pronosticada para los próximos años, los profesionales de ciberseguridad requieren una solución innovadora para detectar exploits a tiempo y defender proactivamente la infraestructura organizacional.
En vista de la gravedad crítica de la falla y la adopción mayoritaria de soluciones Atlassian por empresas a nivel mundial, es vital contar con una fuente confiable de contenido de detección para identificar ataques cibernéticos relacionados en las primeras etapas de desarrollo.
La regla anterior, proporcionada por el Equipo de SOC Prime, ayuda a identificar una posible ejecución remota de código CVE-2023-22527 para obtener acceso inicial a aplicaciones vulnerables. Para un rendimiento óptimo, la regla requiere el registro de datos del cuerpo de la solicitud POST para cada solicitud. La detección es compatible con 13 soluciones SIEM, EDR, XDR y Data Lake y está mapeada a MITRE ATT&CK v14, abordando tácticas de Acceso Inicial y Explotación de Aplicaciones Expuestas al Público (T1190) como técnica principal.
Para siempre mantenerse al tanto de los ataques que dependen de CVE emergentes, explore toda la colección de reglas relevantes y consultas de búsqueda disponibles en el Mercado de Detección de Amenazas de SOC Prime. Haga clic en el Explorar Detecciones botón y acceda a la amplia pila de detección con el contexto completo de la amenaza al alcance de su mano.
Análisis de CVE-2023-22527
El 16 de enero de 2023, Atlassian Confluence emitió un boletín de seguridad notificando a los clientes de la compañía sobre una nueva divulgación de vulnerabilidad RCE crítica. Una vulnerabilidad de inyección de plantillas rastreada como CVE-2023-22527 permite a los atacantes no autenticados habilitar RCE en instancias de software afectadas. La vulnerabilidad con una calificación de 10.0 en la escala CVSS, que indica su gravedad muy crítica, representa una amenaza para las versiones de software desactualizadas lanzadas antes del 5 de diciembre de 2023, junto con la versión 8.4.5, que ya no recibe correcciones retroactivas.
Según el servicio de monitoreo de amenazas de Shadowserver, ya ha habido más de 40K intentos de explotación armando CVE-2023-22527, con ataques en el mundo real originados en poco más de 600 direcciones IP distintas. Cabe destacar que más de 20K de las direcciones IP identificadas están vinculadas a rusia.
En cuanto a las medidas de mitigación de CVE-2023-22527, Atlassian no ha proporcionado ninguna solución alternativa. Para remediar la amenaza, se recomienda encarecidamente a los clientes actualizar cada producto afectado a la última versión disponible. Aunque las versiones más recientes de los endpoints de Confluence no se ven afectadas por esta falla, Atlassian aconseja a sus clientes que actualicen a la versión más reciente del software para asegurarse de que los servidores estén completamente protegidos contra cualquier posible error de seguridad no crítico.
Los defensores pueden intentar buscar en SOC Prime docenas de reglas y consultas agnósticas del proveedor para detectar amenazas que afectan a los endpoints de Atlassian Confluence, incluidas las conocidas vulnerabilidades de día cero y CVEs. Explore el contexto relevante de amenazas cibernéticas, incluidas las referencias y mitigaciones ATT&CK, los binarios vinculados a las detecciones y otros metadatos procesables para ayudar en su rutina de investigación de amenazas.
