Détection de CVE-2023-22527 : Vulnérabilité RCE de Gravité Maximale dans Atlassian Confluence Server et Data Center Exploitée dans la Nature
Table des matières :
Les adversaires mènent des attaques en liberté médiatisées en utilisant des vulnérabilités RCE impactant les serveurs Atlassian Confluence. Une nouvelle vulnérabilité RCE découverte dans Confluence Data Center et Confluence Server a été observée en cours d’exploitation active quelques jours seulement après sa découverte. La faille critique suivie sous le code CVE-2023-22527, avec le score CVSS maximal de 10.0, affecte les serveurs Atlassian Confluence obsolètes.
Détecter les tentatives d’exploitation de CVE-2023-22527
Avec environ 30 000 nouvelles vulnérabilités signalées en 2023 et une tendance croissante prévue pour les années à venir, les professionnels de la cybersécurité nécessitent une solution innovante pour détecter les exploits à temps et défendre de manière proactive l’infrastructure organisationnelle.
Compte tenu de la sévérité critique de la faille et de l’adoption majeure des solutions Atlassian par les entreprises dans le monde, il est vital de disposer d’une source fiable de contenu de détection pour identifier les cyberattaques liées dès les premières phases de développement.
La règle ci-dessus, fournie par l’équipe SOC Prime, aide à identifier une exécution de code à distance CVE-2023-22527 possible afin d’obtenir un accès initial aux applications vulnérables. Pour une performance fluide, la règle nécessite la journalisation des données du corps de la requête POST pour chaque requête. La détection est compatible avec 13 solutions SIEM, EDR, XDR et Data Lake, et est mappée sur MITRE ATT&CK v14, abordant les tactiques d’accès initial et l’exploitation des applications exposées publiquement (T1190) comme technique principale.
Pour toujours rester à la pointe des attaques reposant sur les CVE émergents, explorez l’ensemble de la collection de règles pertinentes et de requêtes de chasse disponibles dans le Marketplace de détection de menaces de SOC Prime. Cliquez sur le Explorez les détections bouton et accédez à la pile de détections étendue avec le contexte de menace complet à portée de main.
Analyse CVE-2023-22527
Le 16 janvier 2023, Atlassian Confluence a publié un bulletin de sécurité informant les clients de l’entreprise d’une nouvelle divulgation critique de vulnérabilité RCE. Une vulnérabilité d’injection de modèle suivie sous le code CVE-2023-22527 permet aux attaquants non authentifiés d’activer RCE sur les instances logicielles affectées. La vulnérabilité notée 10.0 sur l’échelle CVSS, indiquant sa sévérité hautement critique, représente une menace pour les versions logicielles obsolètes sorties avant le 5 décembre 2023, ainsi que la version 8.4.5, qui ne bénéficie plus de corrections rétroactives.
Selon le service de surveillance des menaces de Shadowserver, il y a déjà eu plus de 40 000 tentatives d’exploitation utilisant CVE-2023-22527, avec des attaques en liberté provenant d’un peu plus de 600 adresses IP distinctes. Notamment, plus de 20 000 des adresses IP identifiées sont liées à la Russie.
Quant aux mesures d’atténuation CVE-2023-22527, Atlassian n’a proposé aucune solution de contournement. Pour remédier à la menace, il est fortement recommandé aux clients de mettre à jour chaque produit affecté vers la dernière version disponible. Même si les dernières versions prises en charge des points finaux de Confluence ne sont pas affectées par cette faille, Atlassian conseille à ses clients de mettre à niveau vers la version logicielle la plus récente pour s’assurer que les serveurs sont complètement protégés contre tout problème de sécurité non critique potentiel.
Les défenseurs peuvent essayer de rechercher sur SOC Prime des dizaines de règles et de requêtes indépendantes du fournisseur pour détecter les menaces affectant les points finaux Atlassian Confluence, y compris les jours zéro connus et les CVE. Explorez le contexte pertinent de la menace cybernétique, y compris les références ATT&CK et les mesures d’atténuation, les binaires liés aux détections et d’autres métadonnées exploitables pour vous assister dans votre routine d’investigation de menaces.
