4 октября австралийская компания Atlassian, специализирующаяся на выпуске и поддержке корпоративного софта для совместной работы, опубликовала официальное предупреждение касательно CVE-2023-22515 , критического недостатка безопасности повышения привилегий в Confluence Data Center and Server. Как заявили в компании, о проблеме стало известно после того, как несколько клиентов сообщили об инцидентах, когда злоумышленники смогли получить доступ к Confluence и расшарить себе админские учетные записи.
Успешное использование уязвимости позволяет создавать учётные записи администратора для доступа к экземплярам Confluence. По данным Atlassian, оценка уровня серьёзности этой уязвимости находится в диапазоне от 9.0 до 10.0 баллов по шкале CVSS.
В рекомендациях по смягчению CVE-2023-22515 указано, что блокировка сетевого доступа к конечным точкам /setup/* поможет предотвратить эксплуатацию данной уязвимости. Также отмечено, что атакованные клиенты ранее предоставили общий доступ к своим серверам Confluence, что и стало входной точкой для киберпреступников.
Тем не менее, как утверждается, облачные экземпляры Confluence (с доменом «atlassian.net») не подвержены данной уязвимости.
В прошлом платформа Atlassian Confluence уже сталкивалась с атаками. Так, в июне 2022 года была опубликована информация о другой критической уязвимости нулевого дня, которая эксплуатировалась злоумышленниками из Китая.
Atlassian выпустила исправления для CVE-2023-22515 и предоставила список всех затронутых версий.
Клиентам, использующим уязвимые версии Confluence Data Center и Server, рекомендуется как можно скорее обновить свои экземпляры до одной из фиксированных версий (8.3.3 или новее, 8.4.3 или новее, 8.5.2 или новее).
В документе Atlassian также приведены индикаторы компрометации, которые помогут организациям определить, затронула ли их данная атака.
Помимо обновления и применения мер по смягчению применения мер по смягчению последствий, Atlassian также призывает клиентов отключать затронутые экземпляры или изолировать их от Интернет, если немедленное исправление невозможно.
Исследователи полагают, что в самое ближайшее время злоумышленники будут разбирать патчи, чтобы понять суть проблемы для разработки рабочего эксплойта, учитывая особую востребованность решения среди киберподполья.
С заботой о вашей безопасности, команда Origin Security
