Los actores maliciosos han comenzado a explotar activamente una falla de seguridad crítica recientemente revelada que afecta al Atlassian Confluence Data Center y Confluence Server, dentro de los tres días posteriores a la divulgación pública.
Seguimiento como CVE-2023-22527 (Puntuación CVSS: 10.0), la vulnerabilidad afecta a las versiones desactualizadas del software, lo que permite a atacantes no autenticados lograr la ejecución remota de código en instalaciones susceptibles.
La deficiencia afecta a las versiones de Confluence Data Center y Server 8 lanzadas antes del 5 de diciembre de 2023, así como a la 8.4.5.
Pero apenas unos días después de que la falla se hiciera pública, ya el 19 de enero se registraron casi 40.000 intentos de explotación dirigidos a CVE-2023-22527 desde más de 600 direcciones IP únicas, según ambos. la Fundación Shadowserver y el informe DFIR.
Actualmente, la actividad se limita a “probar intentos de devolución de llamada y ejecución ‘whoami'”, lo que sugiere que los actores de amenazas están escaneando de manera oportunista en busca de servidores vulnerables para una posterior explotación.
La mayoría de las direcciones IP de los atacantes proceden de Rusia (22.674), seguida de Singapur, Hong Kong, Estados Unidos, China, India, Brasil, Taiwán, Japón y Ecuador.
Encima 11.000 instancias de Atlassian Se ha descubierto que son accesibles a través de Internet a partir del 21 de enero de 2024, aunque actualmente no se sabe cuántos de ellos son vulnerables a CVE-2023-22527.
“CVE-2023-22527 es una vulnerabilidad crítica dentro del servidor y centro de datos Confluence de Atlassian”, investigadores de ProjectDiscovery Rahul Maini y Harsh Jaiswal dicho en un análisis técnico del defecto.
“Esta vulnerabilidad tiene el potencial de permitir a atacantes no autenticados inyectar expresiones OGNL en la instancia de Confluence, permitiendo así la ejecución de código arbitrario y comandos del sistema”.