Microsoft ha vinculado la explotación de una falla crítica recientemente revelada en el servidor y el centro de datos Atlassian Confluence a un actor estatal al que rastrea como Tormenta-0062 (también conocido como DarkShadow u Oro0lxy).
El equipo de inteligencia de amenazas del gigante tecnológico dijo que observó un abuso natural de la vulnerabilidad desde el 14 de septiembre de 2023.
«CVE-2023-22515 es una vulnerabilidad crítica de escalada de privilegios en Atlassian Confluence Data Center and Server», la empresa anotado en una serie de publicaciones en X (anteriormente Twitter).
«Cualquier dispositivo con una conexión de red a una aplicación vulnerable puede explotar CVE-2023-22515 para crear una cuenta de administrador de Confluence dentro de la aplicación».
CVE-2023-22515, con calificación 10.0 en el sistema de clasificación de gravedad CVSS, permite atacantes remotos para crear cuentas de administrador de Confluence no autorizadas y acceder a servidores de Confluence. La falla se ha solucionado en las siguientes versiones:
- 8.3.3 o posterior
- 8.4.3 o posterior, y
- 8.5.2 (versión de soporte a largo plazo) o posterior
Si bien la escala exacta de los ataques no está clara, Atlassian dijo que «un puñado de clientes» le informaron del problema, lo que significa que el actor de amenazas lo había explotado como un día cero.
Vale la pena señalar que Oro0lxy se refiere a un alias digital creado por Li Xiaoyu, un hacker chino que fue acusado por el Departamento de Justicia de EE. UU. (DoJ) en julio de 2020 de infiltrarse en «cientos de empresas» en EE. UU., Hong Kong y China. incluido el desarrollador de investigación de la vacuna contra el coronavirus moderna.
Se dice que Xiaoyu fue asignado a la división regional de Guangdong del Ministerio de Seguridad del Estado (MSS).
«Los acusados en algunos casos actuaron para su propio beneficio financiero personal, y en otros en beneficio del MSS u otras agencias gubernamentales chinas», dijo el Departamento de Justicia. «Los piratas informáticos robaron terabytes de datos que constituían una amenaza sofisticada y prolífica para las redes estadounidenses».
Se recomienda encarecidamente a las organizaciones que dependen de las aplicaciones de Confluence que actualicen a las últimas versiones para mitigar cualquier amenaza potencial y también que las aíslen de la Internet pública hasta que se implementen las soluciones.