Rilevamento del CVE-2023-22527: Vulnerabilità RCE di massima gravità nei Confluence Server e Data Center di Atlassian sfruttata in natura
Indice:
Gli avversari effettuano attacchi in-the-wild di alto profilo utilizzando come arma vulnerabilità RCE che impattano sui server Atlassian Confluence. Una vulnerabilità RCE recentemente scoperta nel Confluence Data Center e Confluence Server è stata osservata in fase di sfruttamento attivo solo pochi giorni dopo la sua scoperta. La falla critica tracciata come CVE-2023-22527 con il punteggio CVSS più alto possibile di 10.0 colpisce i server Atlassian Confluence obsoleti.
Rilevare i tentativi di sfruttamento di CVE-2023-22527
Con circa 30.000 nuove vulnerabilità segnalate nel 2023 e una tendenza di crescita costante prevista per gli anni a venire, i professionisti della cybersicurezza richiedono una soluzione innovativa per rilevare gli exploit in tempo e difendere proattivamente l’infrastruttura organizzativa.
In vista della gravità critica della falla e della vasta adozione delle soluzioni Atlassian da parte delle imprese a livello globale, è vitale avere una fonte affidabile di contenuti di rilevazione per identificare i relativi attacchi informatici nelle prime fasi di sviluppo.
La regola sopra, fornita dal Team SOC Prime, aiuta a identificare la possibile esecuzione di codice da remoto CVE-2023-22527 per ottenere accesso iniziale alle applicazioni vulnerabili. Per prestazioni ottimali, la regola richiede il logging dei dati del body delle richieste POST per ogni richiesta. La rilevazione è compatibile con 13 soluzioni SIEM, EDR, XDR e Data Lake e mappata su MITRE ATT&CK v14, indirizzando le tattiche di Accesso Iniziale e Exploit Public-Facing Applications (T1190) come tecnica principale.
Per restare sempre aggiornati sugli attacchi che si basano su CVE emergenti, approfondisci l’intera collezione di regole pertinenti e query di ricerca disponibili nel Threat Detection Marketplace di SOC Prime. Clicca sul Esplora le Rilevazioni pulsante e accedi a uno stack di rilevazione esteso con il contesto completo della minaccia a portata di mano.
Analisi di CVE-2023-22527
Il 16 gennaio 2023, Atlassian Confluence ha emesso un bollettino di sicurezza per informare i clienti della società di una nuova divulgazione di vulnerabilità critica RCE. Una vulnerabilità di iniezione di template tracciata come CVE-2023-22527 consente agli attaccanti non autenticati di abilitare RCE su istanze software colpite. La vulnerabilità valutata 10.0 sulla scala CVSS, indicando una gravità altamente critica, rappresenta una minaccia per le versioni obsolete del software rilasciate prima del 5 dicembre 2023, insieme alla versione 8.4.5, che non riceve più correzioni retroattive.
Secondo il servizio di monitoraggio delle minacce di Shadowserver, ci sono già stati oltre 40.000 tentativi di sfruttamento che utilizzano come arma CVE-2023-22527, con attacchi in-the-wild provenienti da poco più di 600 indirizzi IP distinti. Notoriamente, oltre 20.000 degli indirizzi IP identificati sono collegati alla Russia.
Per quanto riguarda le misure di mitigazione di CVE-2023-22527, Atlassian non ha fornito alcuna soluzione temporanea. Per correggere la minaccia, ai clienti è fortemente consigliato di aggiornare ciascun prodotto interessato all’ultima versione disponibile. Anche se le ultime versioni supportate degli endpoint di Confluence restano inviolate da questa falla, Atlassian consiglia ai propri clienti di applicare la patch all’ultima versione del software, così da assicurarsi che i server siano completamente protetti da eventuali bug di sicurezza non critici.
I difensori possono provare a cercare su SOC Prime decine di regole e query senza vincoli di fornitore per rilevare minacce che colpiscono gli endpoint Atlassian Confluence, inclusi giorni zero noti e CVE. Esplora il contesto della minaccia informatica pertinente, incluse le referenze ATT&CK e le mitigazioni, i binari collegati alle rilevazioni e altri metadati attuabili per assisterti nella tua routine di indagine sulla minaccia.
