Atlassian ha publicado correcciones para contener una falla crítica de día cero explotada activamente que afecta las instancias de servidor y centro de datos de Confluence de acceso público.
La vulnerabilidad, rastreada como CVE-2023-22515es explotable de forma remota y permite a atacantes externos crear cuentas de administrador de Confluence no autorizadas y acceder a los servidores de Confluence.
No afecta las versiones de Confluence anteriores a 8.0.0. Los sitios de Confluence a los que se accede a través de un dominio atlassian.net tampoco son vulnerables a este problema.
El proveedor de servicios de software empresarial dicho «Un puñado de clientes» le informaron del problema. Se ha solucionado en las siguientes versiones de Confluence Data Center y Server:
- 8.3.3 o posterior
- 8.4.3 o posterior, y
- 8.5.2 (versión de soporte a largo plazo) o posterior
La empresa, sin embargo, no reveló más detalles sobre la naturaleza y escala de la explotación, ni la causa fundamental de la vulnerabilidad.
Se recomienda a los clientes que no puedan aplicar las actualizaciones que restrinjan el acceso a la red externa a las instancias afectadas.
«Además, puede mitigar los vectores de ataque conocidos para esta vulnerabilidad bloqueando el acceso a los puntos finales /setup/* en las instancias de Confluence», dijo Atlassian. «Esto es posible en la capa de red o realizando los siguientes cambios en los archivos de configuración de Confluence».
La empresa también ha proporcionó los siguientes indicadores de compromiso (IoC) para determinar si una instancia local ha sido potencialmente vulnerada:
- miembros inesperados del grupo administrador de confluencia
- cuentas de usuario inesperadas recién creadas
- solicitudes a /setup/*.action en los registros de acceso a la red
- presencia de /setup/setupadministrator.action en un mensaje de excepción en atlassian-confluence-security.log en el directorio de inicio de Confluence
«Si se determina que su instancia de Confluence Server/DC ha sido comprometida, nuestro consejo es apagar y desconectar inmediatamente el servidor de la red/Internet», dijo Atlassian.
«Además, es posible que desee cerrar inmediatamente cualquier otro sistema que potencialmente comparta una base de usuarios o tenga combinaciones comunes de nombre de usuario y contraseña con el sistema comprometido».
«Es inusual, aunque no sin precedentes, que una vulnerabilidad de escalada de privilegios tenga una clasificación de gravedad crítica», Caitlin Condon de Rapid7. dichoy agregó que la falla «generalmente es más consistente con una omisión de autenticación o una cadena de ejecución remota de código que con un problema de escalada de privilegios en sí».
Dado que las fallas en las instancias de Atlassian Confluence fueron ampliamente explotadas por actores de amenazas en el pasado, se recomienda que los clientes actualicen a una versión reparada de inmediato o implementen las mitigaciones adecuadas.