La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés), la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC, por sus siglas en inglés) publican este Aviso de Ciberseguridad (CSA, por sus siglas en inglés) conjunto en respuesta a la explotación activa de CVE-2023-22515. Esta vulnerabilidad revelada recientemente afecta a ciertas versiones de Atlassian Confluence Data Center and Server, lo que permite a los actores de ciberamenazas obtener acceso inicial a las instancias de Confluence mediante la creación de cuentas de administrador de Confluence no autorizadas. Los actores de amenazas aprovecharon CVE-2023-22515 como día cero para obtener acceso a los sistemas de las víctimas y continuar con la explotación activa después del parche. Atlassian ha calificado esta vulnerabilidad como crítica; La CISA, el FBI y la MS-ISAC prevén una explotación generalizada y continúa debido a la facilidad de explotación.
Microsoft ha vinculado con un actor de nation-state que se rastrea como Storm-0062 (también conocido como DarkShadow u Oro0lxy).
“CVE-2023-22515 es una vulnerabilidad crítica de escalada de privilegios en el centro de datos y el servidor de Atlassian Confluence”, señaló la compañía en una serie de publicaciones en X (anteriormente Twitter).
“Cualquier dispositivo con una conexión de red a una aplicación vulnerable puede aprovechar CVE-2023-22515 para crear una cuenta de administrador de Confluence dentro de la aplicación”.
CVE-2023-22515, con una calificación de 10,0 en el sistema de clasificación de gravedad CVSS, permite a los atacantes remotos crear cuentas de administrador de Confluence no autorizadas y acceder a los servidores de Confluence. La falla se ha solucionado en las siguientes versiones:
- 8.3.3 o posterior
- 8.4.3 o posterior, y
- 8.5.2 (versión de soporte a largo plazo) o posterior
Si bien la escala exacta de los ataques no está clara, Atlassian dijo que fue informada del problema por “un grupo de clientes”, lo que significa que había sido explotado como un día cero por el actor de amenazas.
Vale la pena señalar que Oro0lxy se refiere a un alias digital creado por Li Xiaoyu, un hacker chino que fue acusado por el Departamento de Justicia (DoJ) de EE. UU. en julio de 2020 de infiltrarse en “cientos de empresas” en EE. UU., Hong Kong y China, incluido el desarrollador de investigación de vacunas contra el coronavirus Moderna.
CISA, FBI y MS-ISAC recomiendan encarecidamente a los administradores de red que apliquen inmediatamente las actualizaciones proporcionadas por Atlassian. CISA, FBI y MS-ISAC también alientan a las organizaciones a buscar actividad maliciosa en sus redes utilizando las firmas de detección y los indicadores de compromiso (IOC) en este CSA. Si se detecta un posible riesgo, las organizaciones deben aplicar las recomendaciones de respuesta a incidentes.
Para obtener instrucciones de actualización, una lista completa de las versiones de productos afectadas e indicadores de riesgo, consulta el aviso.