A fabricante de software empresarial Atlassian chamou atenção imediata na quarta-feira para um grande defeito de segurança em seus produtos Confluence Data Center e Server e alertou que o problema já foi explorado como dia zero à solta.

Um comunicado urgente da Atlassian confirma que “alguns clientes” foram atingidos por explorações direcionadas a uma falha explorável remotamente em instâncias de data center e servidor do Confluence.

“A Atlassian foi informada de um problema relatado por alguns clientes, onde invasores externos podem ter explorado uma vulnerabilidade anteriormente desconhecida em instâncias de data center e servidor do Confluence acessíveis ao público para criar contas de administrador não autorizadas do Confluence e acessar instâncias do Confluence”, disse a empresa australiana. .

A vulnerabilidade, rastreado como CVE-2023-22515é descrito como um problema de escalonamento de privilégios explorável remotamente que afeta instâncias locais do Confluence Server e do Confluence Data Center.

“As instâncias na Internet pública estão particularmente em risco, pois esta vulnerabilidade pode ser explorada anonimamente”, alertou Atlassian. “Se uma instância já foi comprometida, a atualização não removerá o comprometimento.”

A empresa disse que os sites da Atlassian Cloud não são vulneráveis ​​a esse problema.

O fornecedor de segurança Rapid7 é sublinhando a urgência para as empresas aplicarem patches e mitigações disponíveis.

“O comunicado da Atlassian implica que a vulnerabilidade pode ser explorada remotamente, o que normalmente é mais consistente com um desvio de autenticação ou cadeia de execução remota de código do que com um problema de escalonamento de privilégios por si só”, disse Caitlin Condon da Rapid7.

Atlassian tem publicou um FAQ pedindo aos usuários corporativos que verifiquem imediatamente todas as instâncias afetadas do Confluence em busca dos seguintes indicadores de comprometimento:

  • Membros inesperados do grupo administrador de confluência
  • Contas de usuário recém-criadas inesperadas
  • Solicitações para /setup/*.action em logs de acesso à rede
  • Presença de /setup/setupadministrator.action em uma mensagem de exceção em atlassian-confluence-security.log no diretório inicial do Confluence

“Se for determinado que sua instância foi comprometida, nosso conselho é desligar imediatamente e desconectar o servidor da rede/Internet. Ademais, você pode querer desligar imediatamente quaisquer outros sistemas que potencialmente compartilhem uma base de usuários ou tenham combinações comuns de nome de usuário/senha com o sistema comprometido”, acrescentou Atlassian.

Os problemas de segurança nos produtos de software da Atlassian foram alvo de ataques no passado tanto por criminosos cibernéticos quanto por agentes de ameaças patrocinados pelo Estado. No catálogo (Vulnerabilidades Exploradas Conhecidas), há seis vulnerabilidades distintas do Confluence marcadas para atenção urgente.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.