CVE-2023-22527 Detecção: Vulnerabilidade de RCE de Máxima Severidade no Confluence Server e Data Center da Atlassian Exploradas em Ambiente Real
Índice:
Os adversários realizam ataques de alto perfil em ambiente in-the-wild ao armarem vulnerabilidades RCE impactando os servidores Atlassian Confluence. Uma nova vulnerabilidade RCE descoberta no Confluence Data Center e no Confluence Server foi observada em exploração ativa poucos dias após sua descoberta. A falha crítica registrada como CVE-2023-22527 com a pontuação CVSS mais alta possível de 10.0 afeta servidores Atlassian Confluence desatualizados.
Detectar Tentativas de Exploração do CVE-2023-22527
Com cerca de 30.000 novas vulnerabilidades reportadas em 2023 e uma tendência constantemente crescente prevista para os próximos anos, os profissionais de cibersegurança precisam de uma solução inovadora para detectar exploits a tempo e defender proativamente a infraestrutura organizacional.
Dada a severidade crítica da falha e a ampla adoção das soluções Atlassian por empresas globalmente, é vital ter uma fonte confiável de conteúdo de detecção para identificar ataques cibernéticos relacionados nas primeiras fases de desenvolvimento.
A regra acima, fornecida pela equipe SOC Prime, ajuda a identificar possíveis execuções remotas de código CVE-2023-22527 para obter acesso inicial a aplicativos vulneráveis. Para um desempenho suave, a regra exige o registro de dados do corpo de requisição POST para cada solicitação. A detecção é compatível com 13 soluções SIEM, EDR, XDR e Data Lake e mapeada para o MITRE ATT&CK v14, abordando táticas de Acesso Inicial e Explorando Aplicações Expostas Publicamente (T1190) como técnica principal.
Para estar sempre à frente dos ataques que dependem de CVEs emergentes, explore toda a coleção de regras relevantes e consultas de caça disponíveis no Threat Detection Marketplace da SOC Prime. Clique no botão Explore Detecções e acesse a vasta pilha de detecção com o contexto completo da ameaça ao seu alcance.
Análise do CVE-2023-22527
Em 16 de janeiro de 2023, a Atlassian Confluence emitiu um boletim de segurança notificando os clientes da empresa sobre uma nova divulgação crítica de vulnerabilidade RCE. Uma vulnerabilidade de injeção de templates registrada como CVE-2023-22527 permite que invasores não autenticados habilitem RCE em instâncias de software afetadas. A vulnerabilidade, avaliada em 10.0 na escala CVSS, indicando sua severidade altamente crítica, representa uma ameaça para versões de software desatualizadas lançadas antes de 5 de dezembro de 2023, juntamente com a versão 8.4.5, que não está mais recebendo correções retroativas.
De acordo com o serviço de monitoramento de ameaças da Shadowserver, já houve mais de 40K tentativas de exploração armando o CVE-2023-22527, com ataques in-the-wild originados de pouco mais de 600 endereços IP distintos. Notavelmente, mais de 20K dos endereços IP identificados estão vinculados à Rússia.
Quanto às medidas de mitigação do CVE-2023-22527, a Atlassian não forneceu nenhuma solução alternativa. Para remediar a ameaça, é fortemente recomendado que os clientes atualizem cada produto afetado para a versão mais recente disponível. Mesmo que as versões mais recentes suportadas dos endpoints do Confluence não sejam afetadas por esta falha, a Atlassian aconselha seus clientes a realizar patch para a versão de software mais recente, para garantir que os servidores estejam totalmente protegidos contra possíveis falhas de segurança não críticas.
Os defensores podem tentar buscar na SOC Prime dezenas de regras e consultas agnósticas de fornecedor para detectar ameaças afetando os endpoints do Atlassian Confluence, incluindo zero-days conhecidos e CVEs. Explore o contexto relevante de ameaças cibernéticas, incluindo referências ATT&CK e medidas de mitigação, binários vinculados às detecções e outros metadados acionáveis para auxiliar em sua rotina de investigação de ameaças.
