Détection CVE-2023-22515 : Une faille zero-day critique dans Confluence Data Center & Server sous exploitation active

[post-views]
octobre 05, 2023 · 4 min de lecture
Détection CVE-2023-22515 : Une faille zero-day critique dans Confluence Data Center & Server sous exploitation active

Atlassian a récemment informé les défenseurs d’une vulnérabilité critique d’escalade de privilèges dans son logiciel Confluence. Le problème découvert, identifié comme CVE-2023-22515, pose des risques graves pour les installations de Confluence impactées car il est activement exploité par des attaquants.

Détecter les exploits CVE-2023-22515

Avec le nombre croissant de CVE exploités dans des attaques réelles, la détection proactive de l’exploitation des vulnérabilités reste l’une des principales demandes de contenu. En raison des risques croissants d’attaques CVE-2023-22515, les organisations ont besoin de contenu pertinent pour détecter les activités malveillantes à temps et prévenir d’éventuelles violations de sécurité. 

La plateforme SOC Prime offre une règle Sigma organisée compatible avec 28 solutions SIEM, EDR, XDR et Data Lake pour identifier les tentatives d’exploitation liées à CVE-2023-22515. La détection est mappée au cadre MITRE ATT&CK® v12 abordant les tactiques d’accès initial avec l’exploitation des applications publiquement accessibles (T1190) comme technique correspondante.

Tentative possible d’exploitation CVE-2023-22515 (vulnérabilité d’escalade de privilège dans le centre de données et le serveur Confluence) (via mots-clés)

Pour explorer l’ensemble de la pile de détection visant à détecter les vulnérabilités tendances, cliquez sur le Explorer les détections bouton ci-dessous. Toutes les règles sont accompagnées d’un contexte de cybermenace approfondi et de CTI pour améliorer l’investigation des menaces.

Explorer les détections

De plus, vous pouvez disposer de règles Sigma pour détecter les comportements et outils les plus courants utilisés dans les attaques destructrices toujours à portée de main, en utilisant la liste Smoking Gun de SOC Prime. Plongez dans notre collection complète de règles mises à jour dynamiquement avec du contenu pour les menaces émergentes. 

Description CVE-2023-22515

Atlassian a récemment émis un avis de sécurité couvrant une nouvelle faille zero-day dans son centre de données et serveur Confluence. Le bug de sécurité découvert désigné comme CVE-2023-22515 avec le score CVSS extrêmement élevé atteignant 10 affecte les versions du logiciel Confluence 8.0.0 et ultérieures. Les attaquants distants peuvent facilement exploiter la faille, sans interaction de l’utilisateur requise, ce qui accroît les risques. 

Bien que ce ne soit pas courant, il y a eu des cas précédents où des vulnérabilités d’escalade de privilèges ont été aussi bien classées avec un score CVSS. Atlassian suggère que CVE-2023-22515 pourrait potentiellement être exploité à distance, une caractéristique généralement associée à un contournement d’authentification ou à une chaîne RCE plutôt qu’à une faille d’escalade de privilèges autonome, selon l’ enquête Rapid7. Ce dernier suppose que CVE-2023-22515 pourrait permettre d’élever les privilèges de compte à admin, donnant aux adversaires le feu vert pour propager l’infection davantage. 

Pour remédier à la menace, il est recommandé que les utilisateurs potentiellement compromis mettent à jour leurs instances sur site aux versions logicielles corrigées. Comme étape alternative de mitigation CVE-2023-22515 pour ces instances Confluence qui ne peuvent pas être corrigées immédiatement, les cyber défenseurs recommandent de limiter l’accès au réseau externe et d’implémenter des restrictions d’accès pour les points de terminaison /setup/* au sein du logiciel. 

Les défenseurs supposent également que la publication du correctif de la vulnérabilité peut encourager les adversaires à rechercher des angles morts potentiels et à simplifier la génération de code d’exploit utilisable de CVE-2023-22515, ce qui nécessite de renforcer les capacités de détection et de chasse des menaces pour se défendre de manière proactive contre les campagnes d’adversaires associées. Comptez sur le Marché de Détection des Menaces de SOC Prime pour rechercher de nouvelles idées de détection contre les menaces émergentes, les CVE et les TTP les plus récents utilisés par les adversaires dans la nature, gérer et déployer vos contenus de détection à grande échelle, ainsi qu’enregistrer vos projets de Détection-en-tant-que-Code dans un environnement sécurisé — tout avoir en main en un seul endroit.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Blog, Dernières Menaces — 7 min de lecture
Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Veronika Telychko
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Blog, Dernières Menaces — 6 min de lecture
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Veronika Telychko
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Blog, Dernières Menaces — 6 min de lecture
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Veronika Telychko