CISA agregó una vulnerabilidad crítica de Confluence rastreada como CVE-2022-26138 a su lista de errores abusados en la naturaleza, una falla que puede proporcionar a los atacantes remotos credenciales codificadas después de una explotación exitosa.
Como reveló la semana pasada la empresa de software australiana Atlassian , las versiones sin parches de la aplicación Questions for Confluence (instalada en más de 8000 servidores ) crean una cuenta con credenciales codificadas.
Un día después de reparar la vulnerabilidad, la empresa notificó a los administradores que repararan sus servidores de inmediato, al ver que la contraseña codificada se había encontrado y compartido en línea.
“Es probable que este problema se explote en la naturaleza ahora que la contraseña codificada se conoce públicamente”, advirtió Atlassian, y dijo que los actores de amenazas podrían usar las credenciales codificadas para iniciar sesión en los servidores vulnerables de Confluence Server y Data Center.
CISA agregó el CVE-2022-26138 a su catálogo de Vulnerabilidades conocidas explotadas (KEV) basado en evidencia de explotación activa.
La firma de ciberseguridad Rapid7 también publicó un informe el miércoles advirtiendo que la falla de seguridad ahora se explota activamente en la naturaleza , pero no compartió ninguna información sobre los ataques o indicadores de compromiso recopilados mientras los investigaba.
Al día siguiente, la empresa de inteligencia de amenazas GreyNoise reveló que también detectó intentos de explotar CVE-2022-26138 desde docenas de direcciones IP.
Las agencias federales dan tres semanas para proteger los servidores
Como dice una directiva operativa vinculante (BOD 22-01) emitida en noviembre, todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben proteger sus sistemas contra errores agregados al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
La agencia de ciberseguridad también ha dado a las agencias federales tres semanas (hasta el 19 de agosto) para parchear los servidores y bloquear los ataques dirigidos a sus redes.
Aunque la directiva BOD 22-01 solo se aplica a las agencias federales de EE. UU., CISA también ” insta encarecidamente ” a las organizaciones de todo el país a corregir esta falla para frustrar los ataques contra los servidores vulnerables de Confluence.
“Este tipo de vulnerabilidades son un vector de ataque frecuente para los actores cibernéticos maliciosos y representan un riesgo significativo para la empresa federal”, agregó el viernes la agencia de seguridad cibernética de EE . UU.
Desde que se emitió esta directiva, CISA ha agregado cientos de errores de seguridad a su catálogo de errores explotados en ataques, ordenando a las agencias federales que parchen los sistemas vulnerables lo antes posible para evitar infracciones.
Proteger los servidores de Confluence es particularmente importante dado que son objetivos atractivos, como lo demostraron los ataques anteriores con el ransomware AvosLocker y Cerber2021 , el malware de botnet de Linux y los criptomineros .
