¿Es LG mejor que Sony? 
¿Que nos ofrece mobincube? 
¿Por qué Ben Affleck tiene una casa en Georgia? 
¿Puedo comer o beber algo antes de un análisis de orina? 
¿Cuál es la parte más difícil de ser astronauta? 
¿Cómo uso Claude fuera de EE. UU.? 
¿Cuándo es el proximo Hot Sale en vuelos? 
¿Cuánto valdrá NVDA dentro de 5 años? 
¿Cuánto se paga por Amazon Prime en España? 
Investigadores han descubierto una vulnerabilidad crítica en la aplicación de servidor empresarial Confluence de Atlassian que está siendo aprovechada activamente por actores de amenazas. La vulnerabilidad, conocida como CVE-2023-22518, permite la omisión de autenticación y permite a los atacantes ejecutar comandos maliciosos y reiniciar servidores. Estos ataques han resultado en la instalación de ransomware en los sistemas objetivo. La firma de seguridad GreyNoise informó que la explotación de esta vulnerabilidad ha sido generalizada, con las direcciones IP de los atacantes predominantemente provenientes de Ucrania.
Los ataques fueron observados durante un período específico de ocho horas, con tres direcciones IP diferentes aprovechando la vulnerabilidad en ese lapso. Si bien los ataques han cesado desde entonces, se sospecha que aún están en curso. Capturas de pantalla publicadas por The DFIR Report brindan detalles de los ataques, incluidas las demandas de rescate de un grupo que se hace llamar C3RB3R y el movimiento lateral posterior a la explotación dentro de la red de la víctima.
Las empresas de seguridad Rapid7 y Tenable también han confirmado la ocurrencia de estos ataques durante el fin de semana. La detección y respuesta gestionadas (MDR) de Rapid7 observó la explotación de Atlassian Confluence en múltiples entornos de clientes, lo que llevó a la implementación de ransomware. La compañía afirmó que los ataques estaban dirigidos a la vulnerabilidad CVE-2023-22518, que afecta a Confluence Data Center y Confluence Server.
CVE-2023-22518 se clasifica como una vulnerabilidad de autorización incorrecta, que puede ser explotada mediante el envío de solicitudes especialmente diseñadas a los puntos finales de configuración y restauración de servidores de Confluence accesibles desde Internet. Atlassian ha instado a los clientes a tomar medidas inmediatas para proteger sus instancias, ya que la vulnerabilidad tiene el potencial de causar una pérdida significativa de datos si es explotada. El viernes, Atlassian anunció formalmente que se estaban produciendo explotaciones activas y reiteró la necesidad de tomar medidas inmediatas.
A medida que se propaga la noticia sobre la facilidad de explotación y la efectividad de esta vulnerabilidad, se espera que los grupos de amenazas intensifiquen sus esfuerzos para explotarla antes de que las organizaciones puedan parchear sus sistemas. Se aconseja a las organizaciones que utilizan servidores Confluence locales expuestos a Internet que apliquen rápidamente los parches o que temporalmente retiren los servidores de Internet. También se recomienda deshabilitar puntos finales específicos como una estrategia de mitigación más arriesgada.
FAQ
¿Qué es la vulnerabilidad CVE-2023-22518?
CVE-2023-22518 es una vulnerabilidad de autorización incorrecta en la aplicación de servidor empresarial Confluence de Atlassian. Permite que los actores de amenazas omitan la autenticación y ejecuten comandos maliciosos, lo que podría resultar en una pérdida significativa de datos y la instalación de ransomware.
¿Cómo están explotando esta vulnerabilidad los actores de amenazas?
Los actores de amenazas están explotando la vulnerabilidad CVE-2023-22518 enviando solicitudes específicamente diseñadas a los puntos finales de configuración y restauración de servidores de Confluence accesibles desde Internet. Esto les permite omitir la autenticación, ejecutar comandos maliciosos y potencialmente instalar ransomware en sistemas vulnerables.
¿Qué acciones ha tomado Atlassian en respuesta a esta vulnerabilidad?
Atlassian ha emitido una advertencia a sus clientes, instándolos a tomar medidas inmediatas para proteger sus instancias de Confluence. Han proporcionado parches para abordar la vulnerabilidad y han recomendado a las organizaciones que apliquen estos parches lo antes posible. Atlassian también ha recomendado temporalmente retirar los servidores expuestos de Internet o deshabilitar puntos finales específicos como estrategia de mitigación.
¿Qué deben hacer las organizaciones para protegerse de estos ataques?
Las organizaciones que utilizan servidores locales de Confluence expuestos a Internet deben aplicar de inmediato los parches disponibles para abordar la vulnerabilidad. Si no es posible parchar de inmediato, se recomienda retirar temporalmente los servidores de Internet o deshabilitar los puntos finales específicos mencionados por Atlassian como una estrategia de mitigación más arriesgada. Ignorar estas recomendaciones pone a las organizaciones en un considerable riesgo de pérdida de datos y ataques de ransomware.