En los últimos días, se ha desatado un ataque masivo dirigido a las versiones obsoletas de Atlassian Confluence Data Center y Confluence Server, tras la divulgación de una vulnerabilidad crítica. Identificada como CVE-2023-22527 (puntuación CVSS: 10.0), esta falla de seguridad permite a atacantes no autenticados lograr la ejecución remota de código en instalaciones susceptibles.
La debilidad afecta a las versiones 8 de Confluence Data Center y Server lanzadas antes del 5 de diciembre de 2023, así como la versión 8.4.5. Sorprendentemente, en tan solo tres días desde su divulgación pública, se han registrado casi 40,000 intentos de explotación dirigidos a CVE-2023-22527 en la naturaleza, provenientes de más de 600 direcciones IP únicas, según informes de la Fundación Shadowserver y el Reporte DFIR.
La actividad actual se limita principalmente a “intentos de llamada de prueba y ejecución de ‘whoami'”, lo que sugiere que los actores malintencionados están explorando oportunidades para buscar servidores vulnerables y planificar futuras explotaciones.
La mayoría de las direcciones IP de los atacantes provienen de Rusia (22,674), seguido por Singapur, Hong Kong, Estados Unidos, China, India, Brasil, Taiwán, Japón y Ecuador.
Hasta el 21 de enero de 2024, se ha identificado que más de 11,000 instancias de Atlassian son accesibles a través de Internet, aunque aún no se sabe cuántas de ellas son vulnerables a CVE-2023-22527.
“CVE-2023-22527 es una vulnerabilidad crítica en Atlassian’s Confluence Server y Data Center”, señalan los investigadores de ProjectDiscovery, Rahul Maini y Harsh Jaiswal, en un análisis técnico de la falla. “Esta vulnerabilidad tiene el potencial de permitir a atacantes no autenticados inyectar expresiones OGNL en la instancia de Confluence, lo que permite la ejecución de código arbitrario y comandos del sistema”.