CISA, FBI et MS-ISAC ont averti aujourd’hui les administrateurs réseau de patcher immédiatement leurs serveurs Atlassian Confluence contre une faille de gravité maximale activement exploitée lors d’attaques.
Suivie comme CVE-2023-22515, cette faille critique d’élévation de privilèges affecte Confluence Data Center et Server 8.0.0 et versions ultérieures et est exploitable à distance dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
Le 4 octobre, lors de la publication de mises à jour de sécurité, Atlassian a conseillé à ses clients de mettre à niveau leurs instances Confluence dès que possible vers l’une des versions corrigées (c’est-à-dire 8.3.3 ou version ultérieure, 8.4.3 ou version ultérieure, 8.5.2 ou version ultérieure), car le bug était déjà exploité dans la nature comme un jour zéro.
Ceux qui ne pouvaient pas effectuer la mise à niveau ont été invités à fermer les instances concernées ou à les isoler de l’accès à Internet. Il a également été conseillé aux administrateurs de rechercher des indicateurs de compromission, notamment des comptes d’utilisateurs administrateurs nouveaux ou suspects.
Une semaine après que CISA a ajouté le bug à sa liste de vulnérabilités exploitées connues, Microsoft a révélé qu’un groupe de menaces soutenu par la Chine et suivi sous le nom de Storm-0062 (alias DarkShadow ou Oro0lxy) exploitait la faille comme un jour zéro depuis au moins le 14 septembre. , 2023.
« CISA, FBI et MS-ISAC encouragent fortement les administrateurs réseau à appliquer immédiatement les mises à niveau fournies par Atlassian », ont prévenu aujourd’hui les trois organisations.
« CISA, FBI et MS-ISAC encouragent également les organisations à rechercher les activités malveillantes sur leurs réseaux à l’aide des signatures de détection et des indicateurs de compromission (IOC) de ce CSA. Si une compromission potentielle est détectée, les organisations doivent appliquer les recommandations de réponse aux incidents. «
Avertissement d’exploitation généralisé
Les données recueillies par la société de cybersécurité Greynoise indiquent que l’exploitation du CVE-2023-22515 semble jusqu’à présent très limitée.
Néanmoins, le paysage de l’exploitation pourrait bientôt changer, avec la publication d’exploits de preuve de concept (PoC) [1, 2] développés par le pentester Valentin Lobstein et l’ingénieur en sécurité de Sophee Owen Gong, ainsi que des détails techniques complets sur la vulnérabilité publiés. par les chercheurs de Rapid7 la semaine dernière.
« En raison de la facilité d’exploitation, CISA, FBI et MS-ISAC s’attendent à une exploitation généralisée des instances Confluence non corrigées dans les réseaux gouvernementaux et privés », prévient l’avis conjoint.
Il est de la plus haute importance de corriger les serveurs Confluence le plus rapidement possible, compte tenu de leur attrait historique pour les entités malveillantes. Les campagnes précédentes impliquant des malwares de type botnet Linux, des mineurs de cryptomonnaies et des attaques de ransomwares AvosLocker et Cerber2021 soulignent l’urgence du problème.
L’année dernière, la CISA a ordonné aux agences fédérales de traiter une autre vulnérabilité critique de Confluence (CVE-2022-26138) exploitée à l’état sauvage. Cela a été motivé par des alertes antérieures de la société de cybersécurité Rapid7 et de la société de renseignement sur les menaces GreyNoise.