CVE-2023-22527 탐지: Atlassian의 Confluence Server와 Data Center의 최고 심각도 RCE 취약점이 실제로 악용됨

공격자들은 무기화하여 주목을 받는 현실 공격을 수행합니다 RCE 취약점 Atlassian Confluence 서버에 영향을 미치는. Confluence 데이터 센터 및 Confluence 서버에서 새로 발견된 RCE 취약점이 발견된 지 며칠 만에 활성적으로 악용되고 있는 것으로 관찰되었습니다. CVE-2023-22527로 추적되는 이 심각한 결함은 CVSS 점수 10.0의 최고 점수를 받으며, 구 버전의 Atlassian Confluence 서버에 영향을 미칩니다.

CVE-2023-22527 악용 시도를 탐지하세요

2023년에 보고된 약 30,000개의 새로운 취약점과 앞으로의 추세가 지속적으로 증가하고 있는 상황에서, 사이버 보안 전문가들은 적시에 공격을 탐지하고 조직의 인프라를 선제적으로 방어하기 위한 혁신적인 솔루션이 필요합니다.

결함의 심각도와 전 세계 기업에 의한 Atlassian 솔루션의 주요 채택을 고려할 때, 관련 사이버 공격을 개발 초기 단계에서 식별하기 위한 신뢰할 수 있는 탐지 콘텐츠 소스를 확보하는 것이 중요합니다.

가능한 CVE-2023-22527 (Confluence 데이터 센터 및 서버 원격 코드 실행) 악용 시도 (웹서버 경유)

SOC Prime Team에서 제공한 위의 규칙은 취약한 애플리케이션에 초기 접근을 얻기 위한 가능성 있는 CVE-2023-22527 원격 코드 실행을 식별하는 데 도움이 됩니다. 원활한 성능을 위해, 규칙은 매 요청의 POST 요청 본문 데이터를 로깅해야 합니다. 이 탐지는 13개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK v14에 매핑되어 초기 접근 수법 및 공용 애플리케이션 악용(T1190)을 주요 기법으로 다룹니다.

새로 등장하는 CVE에 의존하는 공격에 항상 앞서 나가려면, SOC Prime의 위협 탐지 시장에서 제공되는 관련 규칙 및 사냥 쿼리의 전체 컬렉션을 깊이 살펴보세요. 탐지 탐색 버튼을 클릭하여 광범위한 탐지 스택에 액세스하고, 손끝에서 완전한 위협 컨텍스트를 이용하세요.

탐지 탐색

CVE-2023-22527 분석

2023년 1월 16일, Atlassian Confluence는 회사의 클라이언트에게 새로운 심각한 RCE 취약점 공개를 알리는 보안 공지를 발행했습니다. CVE-2023-22527로 추적되는 템플릿 인젝션 취약점이 발견되었습니다. CVE-2023-22527 취약점은 인증되지 않은 공격자가 영향을 받은 소프트웨어 인스턴스에서 RCE를 실행할 수 있도록 하며, CVSS 점수 10.0으로 평가되어, 2023년 12월 5일 이전에 출시된 구 버전과 더 이상 백포트된 수정을 받지 않는 8.4.5 버전의 소프트웨어에 심각한 위협을 가합니다.

Shadowserver의 위협 모니터링 서비스에 따르면 , 600개 이상의 고유한 IP 주소에서 시작된 현장 공격으로 40K+의 성공적인 CVE-2023-22527 악용 시도가 이미 있었다고 합니다. 특히, 식별된 IP 주소의 20K+ 이상이 러시아 연결로 확인됩니다., there have already been 40K+ exploitation attempts weaponizing CVE-2023-22527, with in-the-wild attacks originating from slightly over 600 distinct IP addresses. Notably, over 20K+ of the identified IP addresses are russia-linked. 

CVE-2023-22527 완화 조치와 관련해서, Atlassian은 어떤 대체 방안도 제공하지 않았습니다. 위협을 완화하려면, 클라이언트는 각 영향을 받은 제품을 사용 가능한 최신 버전으로 업그레이드할 것을 강력히 권장합니다. Confluence 엔드포인트의 최신 지원 버전이 이 결함에 영향을 받지 않더라도, Atlassian은 클라이언트가 최신 소프트웨어 버전으로 패치하여 서버가 잠재적인 비심각한 보안 버그로부터 완전히 보호되도록 할 것을 권장합니다.

수호자들은 Atlassian Confluence 엔드포인트에 영향을 미치는 위협을 탐지하기 위해 공급업체에 얽매이지 않는 수십 개의 규칙 및 쿼리를 SOC Prime에서 검색할 수 있습니다 알려진 제로데이 및 CVE를 포함하는. 관련 사이버 위협 문맥을 탐색하고, ATT&CK 참조 및 완화 조치, 탐지에 연결된 바이너리 및 위협 조사 루틴을 지원하는 다른 실행 가능한 메타데이터를 포함하여 상세히 살펴보세요., including known zero-days and CVEs. Explore relevant cyber threat context, including ATT&CK references and mitigations, binaries linked to detections, and other actionable metadata to assist in your threat investigation routine.