Detecção do CVE-2023-22515: Um Zero-Day Crítico no Confluence Data Center & Server Sob Exploração Ativa
Índice:
A Atlassian notificou recentemente os defensores sobre uma vulnerabilidade crítica de escalonamento de privilégio em seu software Confluence. O problema descoberto, identificado como CVE-2023-22515, representa riscos severos para instalações de Confluence impactadas, pois está sendo ativamente explorado por atacantes.
Detectar Exploits CVE-2023-22515
Com o número cada vez maior de CVEs utilizados em ataques do mundo real, a detecção proativa de exploração de vulnerabilidades permanece sendo uma das principais demandas de conteúdo. Devido ao aumento dos riscos de ataques CVE-2023-22515, as organizações precisam de conteúdo de detecção relevante para identificar atividades maliciosas a tempo e prevenir possíveis violações de segurança.
A plataforma SOC Prime oferece uma regra Sigma curada compatível com 28 soluções de SIEM, EDR, XDR e Data Lake para identificar tentativas de exploração relacionadas ao CVE-2023-22515. A detecção é mapeada para o framework MITRE ATT&CK® v12 abordando táticas de Acesso Inicial com a técnica de Exploração de Aplicações Voltadas para o Público (T1190) como técnica correspondente.
Para explorar o extenso conjunto de detecção voltado para a detecção de vulnerabilidades em tendência, acesse o botão Explorar Detecções abaixo. Todas as regras são acompanhadas por amplo contexto de ameaças cibernéticas e CTI para aprimorar a investigação de ameaças.
Além disso, você pode ter regras Sigma para detectar os comportamentos e ferramentas mais comuns usados em ataques destrutivos sempre à mão, utilizando a Lista Smoking Gun da SOC Prime. Mergulhe em nossa coleção abrangente de regras atualizadas dinamicamente com conteúdo para ameaças emergentes.
Descrição do CVE-2023-22515
A Atlassian recentemente emitiu um aviso de segurança cobrindo uma nova falha de zero-day em seu Confluence Data Center e Server. O bug de segurança descoberto, designado como CVE-2023-22515, com uma pontuação CVSS extremamente alta chegando a 10, afeta as versões 8.0.0 e posteriores do software Confluence. Atacantes remotos podem facilmente explorar a falha, sem a necessidade de interação do usuário, o que aumenta os riscos.
Embora não seja comum, houve instâncias anteriores em que vulnerabilidades de escalonamento de privilégio classificaram-se tão alto em uma pontuação CVSS. A Atlassian sugere que o CVE-2023-22515 poderia potencialmente ser explorado remotamente, uma característica geralmente associada a um bypass de autenticação ou cadeia RCE, em vez de uma falha autônoma de escalonamento de privilégio, de acordo com a inquérito da Rapid7. Este último assume que o CVE-2023-22515 pode permitir elevar privilégios de conta para administrador, dando aos adversários sinal verde para espalhar ainda mais a infecção.
Para remediar a ameaça, é recomendado que usuários potencialmente comprometidos atualizem suas instâncias on-premises para as versões de software corrigidas. Como uma alternativa de mitigação do CVE-2023-22515 para aquelas instâncias do Confluence que não podem ser prontamente corrigidas, os defensores cibernéticos recomendam limitar o acesso à rede externa e implementar restrições de acesso para os endpoints /setup/* dentro do software.
Os defensores também supõem que o lançamento do patch da vulnerabilidade pode encorajar adversários a procurar por pontos cegos potenciais e otimizar a geração de código de exploit utilizável do CVE-2023-22515, o que requer o fortalecimento das capacidades de detecção e caça às ameaças para se defender proativamente contra campanhas adversárias relacionadas. Confie no Marketplace de Detecção de Ameaças da SOC Prime para procurar novas ideias de detecção contra ameaças emergentes, CVEs e as últimas TTPs usadas por adversários na natureza, gerencie e implante seu conteúdo de detecção em escala centralmente, bem como armazene seus projetos de Detecção como Código em um ambiente seguro — tenha tudo à mão em um único lugar.
