Rilevamento CVE-2023-22515: Una Zero-Day Critica in Confluence Data Center & Server Sotto Sfruttamento Attivo
Indice:
Atlassian ha recentemente notificato ai difensori una vulnerabilità critica di escalation dei privilegi nel suo software Confluence. Il problema identificato come CVE-2023-22515 comporta seri rischi per le installazioni Confluence interessate in quanto è attivamente sfruttato dagli aggressori.
Rileva gli exploit CVE-2023-22515
Con il numero sempre crescente di CVE sfruttati in attacchi reali, il rilevamento proattivo dell’esploit delle vulnerabilità rimane una delle principali richieste di contenuto. A causa dei crescenti rischi degli attacchi CVE-2023-22515, le organizzazioni necessitano di contenuti di rilevamento pertinenti per identificare tempestivamente le attività malevole e prevenire possibili violazioni della sicurezza.
La piattaforma SOC Prime offre una regola Sigma curata e compatibile con 28 soluzioni SIEM, EDR, XDR e Data Lake per identificare i tentativi di sfruttamento relativi a CVE-2023-22515. Il rilevamento è mappato al framework MITRE ATT&CK® v12 affrontando le tattiche di Accesso Iniziale con l’uso di Applicazioni Pubbliche Sfruttabili (T1190) come tecnica corrispondente.
Per esplorare lo stack di rilevamento estensivo mirato al rilevamento delle vulnerabilità di tendenza, fai clic sul Esplora Rilevamenti pulsante qui sotto. Tutte le regole sono accompagnate da un ampio contesto di minaccia informatica e CTI per migliorare l’indagine sulle minacce.
Inoltre, puoi avere sempre a portata di mano le regole Sigma per rilevare i comportamenti e gli strumenti più comuni utilizzati negli attacchi distruttivi, utilizzando SOC Prime’s Smoking Gun List. Esplora la nostra raccolta completa di regole aggiornate dinamicamente con contenuti per minacce emergenti.
Descrizione di CVE-2023-22515
Atlassian ha recentemente rilasciato un avviso di sicurezza coprendo un nuovo difetto zero-day nel suo Confluence Data Center e Server. Il bug di sicurezza scoperto designato come CVE-2023-22515 con un punteggio CVSS estremamente alto di 10 colpisce le versioni di Confluence dalla 8.0.0 e successive. Gli aggressori remoti possono facilmente sfruttare il difetto, senza necessità di interazione dell’utente, il che aumenta i rischi.
Anche se non è comune, ci sono stati casi precedenti in cui le vulnerabilità di escalation dei privilegi hanno ottenuto un punteggio CVSS così alto. Atlassian suggerisce che CVE-2023-22515 potrebbe essere potenzialmente sfruttato da remoto, una caratteristica di solito associata a un bypass di autenticazione o catena RCE piuttosto che a un semplice difetto di escalation dei privilegi, secondo l’indagine di Rapid7. Quest’ultima ipotizza che CVE-2023-22515 potrebbe permettere di elevare i privilegi dell’account ad amministratore, dando agli avversari il via libera per diffondere ulteriormente l’infezione.
Per mitigare la minaccia, si raccomanda che gli utenti potenzialmente compromessi aggiornino le loro istanze on-premise alle versioni software patchate. Come alternativa di mitigazione CVE-2023-22515 per quelle istanze Confluence che non possono essere immediatamente patchate, i difensori informatici consigliano di limitare l’accesso alla rete esterna e implementare restrizioni di accesso per gli endpoint /setup/* all’interno del software.
I difensori ritengono inoltre che il rilascio della patch di vulnerabilità possa incoraggiare gli avversari a cercare potenziali punti ciechi e semplificare la generazione di codice di exploit utilizzabile di CVE-2023-22515, il che richiede di rafforzare le capacità di rilevamento e caccia delle minacce per difendersi proattivamente dalle campagne avversarie correlate. Affidati al SOC Prime’s Threat Detection Marketplace per cercare nuove idee di rilevamento contro le minacce emergenti, i CVE e i nuovi TTP utilizzati dagli avversari in natura, gestisci e distribuisci centralmente il tuo contenuto di rilevamento su larga scala, oltre a memorizzare i tuoi progetti di Rilevamento-come-Codice in un ambiente sicuro — tutto a portata di mano in un solo posto.
