Microsoft a lié l’exploitation d’une faille critique récemment révélée dans Atlassian Confluence Data Center and Server à un acteur étatique qu’il suit comme Tempête-0062 (alias DarkShadow ou Oro0lxy).
L’équipe de renseignement sur les menaces du géant de la technologie a déclaré avoir observé un abus de la vulnérabilité dans la nature depuis le 14 septembre 2023.
« CVE-2023-22515 est une vulnérabilité critique d’élévation de privilèges dans Atlassian Confluence Data Center and Server », a déclaré la société. noté dans une série de messages sur X (anciennement Twitter).
« Tout appareil disposant d’une connexion réseau à une application vulnérable peut exploiter CVE-2023-22515 pour créer un compte administrateur Confluence au sein de l’application. »
CVE-2023-22515, noté 10,0 sur le système d’évaluation de la gravité CVSS, permet attaquants distants pour créer des comptes d’administrateur Confluence non autorisés et accéder aux serveurs Confluence. La faille a été corrigée dans les versions suivantes –
- 8.3.3 ou version ultérieure
- 8.4.3 ou version ultérieure, et
- 8.5.2 (version de support à long terme) ou version ultérieure
Bien que l’ampleur exacte des attaques ne soit pas claire, Atlassian a déclaré avoir été informé du problème par « une poignée de clients », ce qui signifie qu’il avait été exploité comme un jour zéro par l’acteur malveillant.
Il convient de noter qu’Oro0lxy fait référence à un pseudonyme numérique créé par Li Xiaoyu, un hacker chinois accusé par le ministère américain de la Justice (DoJ) en juillet 2020 d’avoir infiltré « des centaines d’entreprises » aux États-Unis, à Hong Kong et en Chine. y compris un développeur de recherche sur un vaccin contre le coronavirus Moderne.
Xiaoyu aurait été affecté à la division régionale du Guangdong du ministère de la Sécurité d’État (MSS).
« Dans certains cas, les accusés ont agi pour leur propre gain financier, et dans d’autres, pour le bénéfice du MSS ou d’autres agences gouvernementales chinoises », a déclaré le ministère de la Justice. « Les pirates ont volé des téraoctets de données, ce qui constituait une menace sophistiquée et prolifique pour les réseaux américains. »
Il est fortement recommandé aux organisations qui s’appuient sur les applications Confluence de mettre à niveau vers les dernières versions pour atténuer toute menace potentielle, et également de les isoler de l’Internet public jusqu’à ce que les correctifs soient en place.