Les chercheurs en sécurité observent des tentatives d’exploitation de la vulnérabilité de faille d’exécution de code à distance CVE-2023-22527 qui affecte les versions obsolètes des serveurs Atlassian Confluence.
Atlassian a révélé le problème de sécurité la semaine dernière et a noté qu’il n’affectait que les versions de Confluence publiées avant le 5 décembre 2023, ainsi que certaines versions non prises en charge.
La faille a un score de gravité critique et est décrite comme une faiblesse d’injection de modèle qui permet à des attaquants distants non authentifiés d’exécuter du code sur des points de terminaison vulnérables Confluence Data Center et Confluence Server, versions versions 8.0.x, 8.1.x, 8,2.x, 8,3.x, 8,4.x, et 8.5.0 à 8.5.3.
Un correctif est disponible pour les versions 8.5.4 (LTS), 8.6.0 (Centre de données uniquement) et 8.7.1 (Centre de données uniquement) de Confluence Data Center et Server et les versions ultérieures.
Le service de surveillance des menaces Shadowserver rapporte aujourd’hui que ses systèmes ont enregistré des milliers de tentatives d’exploitation de CVE-2023-22527, les attaques provenant d’un peu plus de 600 adresses IP uniques.
Le service indique que les attaquants essaient des rappels en exécutant la commande ‘whoami’ pour recueillir des informations sur le niveau d’accès et les privilèges sur le système.
Le nombre total de tentatives d’exploitation enregistrées par la Fondation Shadowserver est supérieur à 39 000, la plupart des attaques provenant d’adresses IP russes.
Shadowserver indique que ses scanners détectent actuellement 11 100 instances Atlassian Confluence accessibles sur l’Internet public. Cependant, tous ceux-ci n’exécutent pas nécessairement une version vulnérable.
Les vulnérabilités Atlassian Confluence sont des actifs fréquemment exploités par divers types d’attaquants, y compris des acteurs de la menace sophistiqués parrainés par un État et des groupes opportunistes de ransomwares.
En ce qui concerne CVE-2023-22527, Atlassian a précédemment déclaré qu’il n’était pas en mesure de fournir des indicateurs spécifiques de compromission (IOC) qui aideraient à détecter les cas d’exploitation.
Les administrateurs de Confluence Server doivent s’assurer que les points de terminaison qu’ils gèrent ont été mis à jour au moins vers une version publiée après le 5 décembre 2023.
Pour les organisations disposant d’instances Confluence obsolètes, il est conseillé de les traiter comme potentiellement compromises, de rechercher des signes d’exploitation, d’effectuer un nettoyage approfondi et de mettre à jour vers une version sécurisée.