A empresa australiana de software Atlassian alertou os administradores para corrigirem imediatamente as instâncias do Confluence expostas à Internet contra uma falha crítica de segurança que poderia levar à perda de dados após uma exploração bem-sucedida.
Descrito como uma vulnerabilidade de autorização inadequada que afeta todas as versões do software Confluence Data Center e Confluence Server, o bug é rastreado como CVE-2023-22518 e coloca as instâncias acessíveis ao público em risco crítico.
Embora os agentes da ameaça possam usar a falha para destruir dados nos servidores afetados, o bug não afeta a confidencialidade, pois não pode ser explorado para exfiltrar dados da instância. Os sites Atlassian Cloud acessados por meio de um domínio atlassian.net também não são afetados por esta vulnerabilidade.
“Como parte de nossos processos contínuos de avaliação de segurança, descobrimos que os clientes do Confluence Data Center e Server são vulneráveis a perdas significativas de dados se explorados por um invasor não autenticado”, disse Bala Sathiamurthy, diretor de segurança da informação (CISO) da Atlassian.
“Não há relatos de exploração ativa neste momento; no entanto, os clientes devem tomar medidas imediatas para proteger as suas instâncias.”
A empresa corrigiu a vulnerabilidade crítica CVE-2023-22518 no Confluence Data Center e Server versões 7.19.16, 8.3.4, 8.4.4, 8.5.3 e 8.6.1.
A Atlassian alertou os administradores para atualizarem imediatamente para uma versão fixa e, se isso não for possível, aplicarem medidas de mitigação, incluindo fazer backup de instâncias não corrigidas e bloquear o acesso à Internet até que sejam atualizadas.
“Instâncias acessíveis à Internet pública, incluindo aquelas com autenticação de usuário, devem ter acesso restrito à rede externa até que você possa corrigir”, disse a empresa.
No início deste mês, CISA, FBI e MS-ISAC alertaram os administradores de rede para corrigir imediatamente os servidores Atlassian Confluence contra uma falha de escalonamento de privilégios ativamente explorada e rastreada como CVE-2023-22515.
“Devido à facilidade de exploração, CISA, FBI e MS-ISAC esperam ver uma exploração generalizada de instâncias não corrigidas do Confluence em redes governamentais e privadas”, alertou o comunicado conjunto.
A Microsoft revelou que o grupo de ameaças Storm-0062 (também conhecido como DarkShadow ou Oro0lxy), apoiado pela China, explorou a falha como um dia zero desde pelo menos 14 de setembro de 2023. Corrigir servidores Confluence vulneráveis o mais rápido possível é de extrema importância, visto que eles foram anteriormente alvo de ataques generalizados que enviavam malware de botnet Linux, mineradores de criptografia e ransomware AvosLocker e Cerber2021.
Comentários