Pesquisadores da Microsoft dizem que um conhecido ator de ameaça estatal está por trás das explorações de dia zero que atingem os produtos Confluence Data Center e Server da Atlassian.
Uma nota de Redmond vinculou os ataques em andamento a um grupo APT rastreado como Storm-0062 e alertou que a atividade maliciosa remonta a 14 de setembro, três semanas antes da divulgação pública do problema pela Atlassian.
“A Microsoft observou o ator de ameaça estatal Storm-0062 explorando CVE-2023-22515 em estado selvagem desde 14 de setembro de 2023. CVE-2023-22515 foi divulgado em 4 de outubro de 2023. Storm-0062 é rastreado por outros como DarkShadow ou Oro0lxy”, disse a empresa.
De acordo com fontes da Cibersegurança Notícias, a equipe de hackers Storm-0062 foi observada conduzindo operações de ciberespionagem para o Ministério de Segurança do Estado da China, uma agência de inteligência estatal.
A Microsoft compartilhou quatro endereços IP que foram vistos enviando tráfego de exploração relacionado visando a vulnerabilidade crítica de escalonamento de privilégios CVE-2023-22515.
“Qualquer dispositivo com conexão de rede a um aplicativo vulnerável pode explorar CVE-2023-22515 para criar uma conta de administrador do Confluence dentro do aplicativo”, disse a Microsoft, confirmando avisos anteriores da Atlassian de que os patches devem ser aplicados com urgência.
“As organizações com aplicações vulneráveis do Confluence devem atualizar o mais rápido possível para uma versão fixa: 8.3.3, 8.4.3 ou 8.5.2 ou posterior. As organizações devem isolar os aplicativos vulneráveis do Confluence da Internet pública até que possam atualizá-los”, acrescentou a empresa.
Atlassian atualizou seu próprio consultivo para confirmar que há evidências de que um conhecido ator do Estado-nação está explorando ativamente o bug.
Em 4 de outubro, a Atlassian lançou um patch urgente para o problema junto com um aviso de que “alguns clientes” foram atingidos por explorações remotas.
“A Atlassian foi informada de um problema relatado por alguns clientes, onde invasores externos podem ter explorado uma vulnerabilidade anteriormente desconhecida em instâncias de data center e servidor do Confluence acessíveis ao público para criar contas de administrador não autorizadas do Confluence e acessar instâncias do Confluence”, disse a empresa australiana. .
A vulnerabilidade, , é descrita como um problema de escalonamento de privilégios explorável remotamente que afeta instâncias locais do Confluence Server e do Confluence Data Center.
“As instâncias na Internet pública estão particularmente em risco, pois esta vulnerabilidade pode ser explorada anonimamente”, alertou Atlassian. “Se uma instância já foi comprometida, a atualização não removerá o comprometimento.”
A Atlassian pede aos usuários corporativos que verifiquem imediatamente todas as instâncias afetadas do Confluence em busca dos seguintes indicadores de comprometimento:
- Membros inesperados do grupo administrador de confluência
- Contas de usuário recém-criadas inesperadas
- Solicitações para /setup/*.action em logs de acesso à rede
- Presença de /setup/setupadministrator.action em uma mensagem de exceção em atlassian-confluence-security.log no diretório inicial do Confluence
“Se for determinado que sua instância foi comprometida, nosso conselho é desligar imediatamente e desconectar o servidor da rede/Internet. Ademais, você pode querer desligar imediatamente quaisquer outros sistemas que potencialmente compartilhem uma base de usuários ou tenham combinações comuns de nome de usuário/senha com o sistema comprometido”, acrescentou Atlassian.
Os problemas de segurança nos produtos de software da Atlassian foram alvo de ataques no passado tanto por criminosos cibernéticos quanto por agentes de ameaças patrocinados pelo Estado. Em KEV da CISA (Vulnerabilidades Exploradas Conhecidas), há seis vulnerabilidades distintas do Confluence marcadas para atenção urgente.