Des acteurs malveillants ont commencé à exploiter activement une faille de sécurité critique récemment révélée affectant Atlassian Confluence Data Center et Confluence Server, dans les trois jours suivant sa divulgation publique.
Suivi comme CVE-2023-22527 (score CVSS : 10,0), la vulnérabilité affecte les versions obsolètes du logiciel, permettant à des attaquants non authentifiés d’exécuter du code à distance sur des installations sensibles.
La faille affecte les versions Confluence Data Center et Server 8 sorties avant le 5 décembre 2023, ainsi que la 8.4.5.
Mais quelques jours seulement après que la faille soit devenue publique, près de 40 000 tentatives d’exploitation ciblant CVE-2023-22527 ont été enregistrées dès le 19 janvier à partir de plus de 600 adresses IP uniques, selon les deux sources. la Fondation Shadowserver et le rapport DFIR.
L’activité est actuellement limitée à « tester les tentatives de rappel et l’exécution de ‘whoami' », ce qui suggère que les acteurs malveillants recherchent de manière opportuniste des serveurs vulnérables en vue d’une exploitation ultérieure.
La majorité des adresses IP des attaquants proviennent de Russie (22 674), suivie de Singapour, de Hong Kong, des États-Unis, de Chine, d’Inde, du Brésil, de Taiwan, du Japon et de l’Équateur.
Sur 11 000 instances Atlassian ont été trouvés accessibles sur Internet depuis le 21 janvier 2024, bien que l’on ne sache pas actuellement combien d’entre eux sont vulnérables au CVE-2023-22527.
« CVE-2023-22527 est une vulnérabilité critique au sein du serveur Confluence et du centre de données d’Atlassian », ont déclaré Rahul Maini et Harsh Jaiswal, chercheurs de ProjectDiscovery. dit dans une analyse technique de la faille.
« Cette vulnérabilité a le potentiel de permettre à des attaquants non authentifiés d’injecter des expressions OGNL dans l’instance Confluence, permettant ainsi l’exécution de code et de commandes système arbitraires. »